Bir tehdit aktörü, yalnızca bir yazım hatasıyla kendi botnet’ini geri alınamaz bir şekilde yok etti.
Siber güvenlik firması Akamai, aynı zamanda dağıtılmış hizmet reddine (DDoS) sahip bir kripto madenciliği botnet’i olan KmsdBot’taki hatayı tespit etti. (yeni sekmede açılır)) yetenekleri, yakın zamanda çökmeden ve bir “dizin aralık dışında” hatası bildirmeden önce.
Akamai’nin araştırmacıları, kripto odaklı bir web sitesine saldırı yapılırken botnet’i izliyordu. Tam o anda, tehdit aktörü bir komutta IP adresi ile bağlantı noktası arasına boşluk koymayı “unuttu” ve komutu KmsdBot’un çalışan her örneğine gönderdi. Bu, çoğunun çökmesine ve botnet’in doğası gereği kapalı kalmasına neden oldu.
Kalıcı botnet yok
Botnet Golang’da yazılmıştır ve kalıcılığı yoktur, bu yüzden onu yeniden çalışır hale getirmenin tek yolu, botnet’i oluşturan tüm makinelere yeniden bulaşmak olacaktır.
Ile konuşmak Karanlık OkumaAkamai’nin baş güvenlik istihbaratı müdahale mühendisi Larry Cashdollar, şirket tarafından izlenen KmsdBot faaliyetlerinin neredeyse tamamının durduğunu ancak tehdit aktörlerinin uç noktaları yeniden etkilemeye çalışabileceğini de sözlerine ekledi. (yeni sekmede açılır) Yeniden. Haberler hakkında bilgi vermek, Ars Teknik KmsdBot’a karşı savunmanın en iyi yolunun, güvenli kabuk bağlantıları için ortak anahtar kimlik doğrulaması kullanmak veya en azından oturum açma kimlik bilgilerini iyileştirmek olduğunu ekledi.
Akamai’ye göre, botnet’in varsayılan hedefi, özel Grand Theft Auto çevrimiçi sunucuları oluşturan bir şirket ve saldırganlar için kripto para madenciliği yapabilse de, bu özellik soruşturma sırasında çalışmıyordu. Bunun yerine, çalışan DDoS etkinliğiydi. Diğer durumlarda, güvenlik şirketlerini ve lüks otomobil markalarını hedef aldı.
Şirket, botnet’i ilk olarak bu yılın Kasım ayında, zayıf SSH kimlik bilgilerine sahip kaba kuvvet sistemleriyken fark etti.