Investigadores de ciberseguridad eliminan botnet DDoS por accidente

Iniciado por AXCESS, Noviembre 30, 2022, 06:04:20 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Noviembre 30, 2022, 06:04:20 PM Ultima modificación: Noviembre 30, 2022, 06:11:01 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Mientras analizaban sus capacidades, los investigadores de Akamai eliminaron accidentalmente una red de bots de criptominería que también se usaba para ataques de denegación de servicio distribuido (DDoS).

Como se reveló en un informe publicado a principios de este mes, los miembros del Equipo de respuesta de inteligencia de seguridad (SIRT) de Akamai descubrieron el malware KmsdBot detrás de esta botnet después de que infectara uno de sus honeypots.

KmsdBot se dirige a dispositivos Windows y Linux con una amplia gama de arquitecturas e infecta nuevos sistemas a través de conexiones SSH que usan credenciales de inicio de sesión débiles o predeterminadas.

Los dispositivos comprometidos se utilizan para extraer criptomonedas y lanzar ataques DDoS, y algunos de los objetivos anteriores son empresas de juegos y tecnología, así como fabricantes de automóviles de lujo.

Desafortunadamente para sus desarrolladores y afortunadamente para los propietarios de los dispositivos, la botnet aún no tiene capacidades de persistencia para evadir la detección.

Sin embargo, esto significa que el malware debe comenzar de nuevo si se detecta y elimina o si funciona mal y pierde su conexión con el servidor de comando y control (C2).

Tango caído

Esto también es lo que condujo a la desaparición de la botnet después de que los investigadores de Akamai desactivaran involuntariamente las versiones actuales del malware KmsdBot.

"En nuestro entorno controlado, pudimos enviar comandos al bot para probar su funcionalidad y atacar las firmas", explicó el investigador de vulnerabilidades de Akamai, Larry Cashdollar, en un nuevo informe.

"Como parte de este análisis, un error de sintaxis hizo que el bot dejara de enviar comandos, matando efectivamente a la red de bots".

Lo que ayudó a eliminar a KmsdBot fue su falta de verificación de errores y "el equivalente de codificación de un error tipográfico", lo que provocó que el malware fallara y dejara de enviar comandos de ataque debido a la cantidad incorrecta de argumentos al servidor C2.

Básicamente, como explicó Cashdollar, el bloqueo fue causado por la emisión de un comando de ataque en el que faltaba el espacio entre el sitio web de destino y el puerto.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Este comando mal formado probablemente colapsó todo el código de la red de bots que se ejecutaba en las máquinas infectadas y hablaba con el C2, esencialmente, matando la red de bots", agregó Cashdollar.

"Debido a que el bot no tiene ninguna funcionalidad para la persistencia en una máquina infectada, la única forma de recuperarse es volver a infectar y reconstruir la botnet desde cero".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta