Xakep #305. Многошаговые SQL-инъекции
Исследователи из ИБ-компании Akamai изучали ботнет, построенный на основе малвари KmsdBot, который использовался для майнинга криптовалюты и DDoS-атак. Во время тестов эксперты случайно передали ботам команду с синтаксической ошибкой, что фактически отключило ботнет, и теперь хакерам придется восстанавливать его с нуля.
Об этом ботнете исследователи уже писали ранее в этом месяце. Напомню, что KmsdBot представляет собой малварь, написанную на Go, которая использует SSH для проникновения в системы жертв и занимается майнингом криптовалюты, а также проведением DDoS-атак. Отмечалось, что атаки KmsdBot затрагивают самые разные компании, от игровых, до производителей люксовых автомобилей и ИБ-фирм.
Как теперь рассказывают эксперты, к сожалению для разработчиков KmsdBot и к счастью для владельцев взломанных устройств, малварь пока не умеет «сохраняться» в зараженной системе, таким образом избегая обнаружения. Фактически это означает, что вредоносу придется начинать все сначала, если он был обнаружен и удален, или по какой-то причине потерял связь с управляющим сервером.
Именно этот аспект и привел к случайному отключению всего ботнета. Эксперт Akamai Ларри Кэшдоллар пишет, что с тех пор как KmsdBot заразил одну из приманок компании, он и коллеги активно занимались его изучением.
«В нашей контролируемой среде мы имели возможность отправлять боту команды для проверки его функциональности и сигнатур атак, — рассказывает Кэшдоллар. — В рамках этого анализа была допущена синтаксическая ошибка, которая заставила бота прекратить передачу команд, и это фактически убило ботнет».
Злую шутку с KmsdBot сыграло отсутствие error-checking’а, или, как говорит Кэшдоллар «эквивалента поиска опечаток в коде». Сбой в работе вредоноса был случайно спровоцирован выполнением команды атаки, в которой был пропущен пробел между адресом целевого сайта и портом.
«Эта неправильно сформированная команда, вероятно, привела к сбою всего ботнета, который работал на зараженных машинах и общался с управляющими серверами. По сути, это убило весь ботнет. Поскольку у бота нет никаких функций для сохранения присутствия на зараженных машинах, единственный способ восстановления — это повторно заражать системы и восстанавливать ботнет с нуля», — заключает эксперт.