Эксперты Akamai: «Cлучайно отключили ботнет»

Ранее в этом месяце специалисты компании Akamai Security Research опубликовали запись о новом ботнете KmsdBot, используемом для криптомайнинга и организации DDoS-атак на игровые компании и производителей люксовых авто. Например, одной из жертв была игровая компания FiveM, разрабатывающая многопользовательский мод для Grand Theft Auto V.

Ботнет заражал вредоносом устройства жертв по SSH и через слабозащищенные учетные записи для входа в систему. После этой публикации эксперты Akamai продолжили следить за ботнетом, а в итоге обезвредили его.


Ботнеты — опасный инструмент в руках злоумышленников и хакеров. Принцип действия у них един — заразить как можно больше устройств и превратить их в целую армию на стороне зла. Читайте, чем опасны ботнеты. Читать >>>


Эксперты создали модификацию образца KmsdBot последней версии для взаимодействия с IP-адресом в адресном пространстве RFC 1918. Таким образом, специалисты создали контролируемую среду, с помощью которой могли отправлять боту команды для проверки его функциональности и сигнатур атак.

В рамках данного эксперимента они смогли заменить адрес мастер-сервера (C2) для отправки команд и перенаправления сетевого трафика. Во время тестирования они заметили, что ботнет перестал отправлять команды атаки после того, как обнаружил одну поступившую некорректную команду.

Между тем в код бота не встроена проверка синтаксических ошибок. В итоге она привела к сбою всего кода ботнета и его отключению.


Самые масштабные ботнет-атаки

Это еще что. Вот подборка самых масштабных атак ботнетов, начиная с 2007 года и по сей день. Вредоносы Mēris, Trickbot, Storm и другие. Подробнее >>>


После заражения ботнет не остается на устройстве пользователя, чтобы его было сложнее отследить и поймать. Именно этой уязвимостью и воспользовались эксперты Akamai Security Research. Поскольку заражающий файл не остается на устройстве, то после остановки бота злоумышленникам необходимо снова взламывать устройство и заражать.

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий