Sözdizimi hataları, botnet yazarları da dahil olmak üzere hepimizin kaderidir.


Kodda vurgulanan hata
Büyüt / 443 numaralı bağlantı noktasından gelecekseniz, kaçırmamanız (veya URL ile bağlantı noktası arasına boşluk koymayı unutmamanız) en iyisidir.

Getty Resimleri

Hizmet reddi (DDOS) saldırıları için de kullanılabilen bir kripto madenciliği botnet’i olan KmsdBot, zayıf güvenli kabuk kimlik bilgileri aracılığıyla sistemlere girdi. Bir sistemi uzaktan kontrol edebiliyordu, tersine mühendislik yapmak zordu, kalıcı değildi ve birden fazla mimariyi hedefleyebiliyordu. KmsdBot, kolay düzeltmesi olmayan karmaşık bir kötü amaçlı yazılımdı.

kadar durum buydu Akamai Security Research’teki araştırmacılar yeni bir çözüme tanık oldu: bir komutta bir IP adresi ile bir bağlantı noktası arasına boşluk koymayı unutmak. Ve botnet’i kontrol eden kişiden geldi.

Yerleşik bir hata denetimi olmadan, KmsdBot’a hatalı biçimlendirilmiş bir komut göndermek (bir gün Akamai izlerken denetleyicilerinin yaptığı gibi), “dizin aralık dışında” hatasıyla panik çökmesine neden oldu. Kalıcılık olmadığı için bot kapalı kalır ve kötü niyetli ajanların bir makineye yeniden bulaştırması ve botun işlevlerini yeniden oluşturması gerekir. Akamai’nin belirttiği gibi, “güzel bir hikaye” ve “teknolojinin kararsız doğasının güçlü bir örneğidir.”

KmsdBot ilgi çekici bir modern kötü amaçlı yazılımdır. Golang dilinde yazılmıştır, çünkü kısmen Golang’da tersine mühendislik yapmak zordur. Ne zaman Akamai’nin bal küpü kötü amaçlı yazılımı yakaladıvarsayılan olarak özel oluşturan bir şirketi hedefliyordu Grand Theft Auto Çevrimiçi sunucular. DDOS etkinliği çalışırken gizli olmasına rağmen kripto madenciliği yeteneğine sahiptir. Zaman zaman diğer güvenlik şirketlerine veya lüks araba markalarına saldırmak istedi.

Akamai’deki araştırmacılar, KmsdBot’u parçalara ayırıyor ve ona komutlar veriyordu. ağ kedisi saldırı komutları göndermeyi bıraktığını keşfettiklerinde. İşte o zaman, kripto odaklı bir web sitesine yapılan saldırıda bir alanın eksik olduğunu fark ettiler. Bu komutun KmsdBot’un çalışan her örneğine gönderildiğini varsayarsak, bunların çoğu çöktü ve yerde kaldı. KmsdBot’u kasıtlı olarak kötü bir istekle beslemek, onu yerel bir sistemde durdurarak daha kolay kurtarma ve kaldırmaya olanak tanır.

Akamai’de baş güvenlik istihbaratı müdahale mühendisi Larry Cashdollar, DarkReading’e şunları söyledi: firmasının izlediği KmsdBot etkinliğinin neredeyse tamamı durdu, yine de yazarlar sistemleri yeniden enfekte etmeye çalışıyor olabilir. Bununla birlikte, güvenli kabuk bağlantıları için ortak anahtar kimlik doğrulamasını kullanmak veya en azından oturum açma kimlik bilgilerini iyileştirmek, her şeyden önce en iyi savunmadır.


Kaynak : https://arstechnica.com/?p=1902139

Yorum yapın