I ricercatori di Akamai studiano dall’inizio di novembre la botnet KmsdBot, usata per eseguire attacchi DDoS e trasformare i computer in miner di criptovalute. Durante i test è stato inviato un comando sbagliato che ha causato l’interruzione delle comunicazioni dei bot con il server C2C. Non avendo una funzionalità di persistenza, la botnet è stata “uccisa“. Ottima notizia quindi per gli utenti che erano finiti nella rete dei cybercriminali.
KmsdBot annientata per errore
Gli esperti di Akamai hanno creato un honeypot (un’esca) per analizzare gli attacchi ricevuti. Uno di essi è stato effettuato con KmsdBot. La botnet sfruttava il protocollo SSH e credenziali deboli per infettare i dispositivi delle ignare vittime. In questo modo è stato analizzato il codice del malware e scoperte le sue funzionalità, tra cui l’installazione di miner per criptovalute.
Akamai ha continuato il monitoraggio della botnet, testando in particolare il funzionamento del server C2C (command and control). I ricercatori hanno quindi inviato un comando per analizzare la risposta del server. Per errore non è stato aggiunto uno spazio tra l’indirizzo IP del sito target e la porta. Dato che nel codice della botnet non c’era il controllo degli errori, questo comando ha mandato in crash il codice eseguito sui bot (computer infettati). È stata quindi interrotta la comunicazione con il server C2C, uccidendo la botnet.
Gli autori non hanno nemmeno implementato la persistenza, ovvero il riavvio automatico, pertanto l’unico modo per riattivare la botnet è infettare nuovamente i computer. In pratica deve essere ricostruita da zero.