在分析其功能时,Akamai 研究人员意外地关闭了一个也用于分布式拒绝服务 (DDoS) 攻击的加密挖矿僵尸网络。
正如本月早些时候发布的一份报告所揭示的那样,Akamai 安全情报响应团队 (SIRT) 的成员在感染了他们的一个蜜罐后发现了该僵尸网络背后的 KmsdBot 恶意软件。
KmsdBot 针对具有广泛体系结构的 Windows 和 Linux 设备,它通过使用弱或默认登录凭据的 SSH 连接感染新系统。
受感染的设备被用来挖掘加密货币并发起 DDoS 攻击,之前的一些目标是游戏和科技公司,以及豪华汽车制造商。
不幸的是,对于它的开发者和设备所有者来说幸运的是,僵尸网络还没有逃避检测的持久性能力。
然而,这意味着如果恶意软件被检测到并被删除,或者它以任何方式出现故障并失去与命令和控制 (C2) 服务器的连接,则必须重新开始。
探戈下
在当前版本的 KmsdBot 恶意软件被 Akamai 的研究人员无意中停用后,这也是导致僵尸网络灭亡的原因。
“在我们的受控环境中,我们能够向机器人发送命令以测试其功能和攻击特征,”Akamai 漏洞研究员 Larry Cashdollar 在一份新报告中解释说。
“作为此分析的一部分,语法错误导致僵尸程序停止发送命令,从而有效地杀死了僵尸网络。”
帮助摧毁 KmsdBot 的是它缺乏错误检查和“相当于错字的编码”,这导致恶意软件崩溃并由于向 C2 服务器的参数数量错误而停止发送攻击命令。
基本上,正如 Cashdollar 解释的那样,崩溃是由发出攻击命令引起的,其中目标网站和端口之间的空间丢失。
Cashdollar 补充说:“这个格式错误的命令可能会导致在受感染机器上运行并与 C2 通信的所有僵尸网络代码崩溃——本质上是杀死僵尸网络。”
“因为僵尸网络在受感染的机器上没有任何持久性功能,所以恢复的唯一方法是重新感染并从头开始重建僵尸网络。”
建议可能成为使用类似传播策略的僵尸网络目标的组织通过以下方式保护其系统免受攻击:
- 不使用弱凭据并更改服务器或已部署应用程序的默认凭据
- 确保所有部署的软件都是最新的
- 对 SSH 连接使用公钥身份验证以避免通过凭证暴力破解
