Errores resaltados en el código
Agrandar / Si viene por el puerto 443, no se lo pierda (u olvide poner un espacio entre la URL y el puerto).

imágenes falsas

KmsdBot, una botnet de criptominería que también podría usarse para ataques de denegación de servicio (DDOS), ingresó a los sistemas utilizando credenciales débiles de Secure Shell. Podía controlar un sistema de forma remota, era difícil realizar ingeniería inversa, no duraba mucho y podía apuntar a múltiples arquitecturas. KmsdBot era un malware complejo que no tenía una solución sencilla.

asi fue hasta entonces Investigadores de Akamai Security Research observaron una solución novedosa: Olvidé poner un espacio entre una dirección IP y un puerto en un comando. Y vino de quienquiera que controlara la botnet.

Sin la comprobación de errores integrada, el envío de un comando erróneo a KmsdBot, como hicieron sus controladores un día mientras Akamai observaba, provocó un bloqueo de pánico con un error de «índice fuera de rango». Dado que no hay persistencia, el bot permanece inactivo y los agentes maliciosos tendrían que volver a infectar una computadora y reconstruir las capacidades del bot. Es, como señala Akamai, «una buena historia» y «un fuerte ejemplo de la volatilidad de la tecnología».

KmsdBot es una intrigante pieza moderna de malware. Está escrito en Golang, en parte porque Golang es difícil de aplicar ingeniería inversa. Cuando El honeypot de Akamai interceptó el malwareestaba dirigido por defecto a una empresa que creaba de forma privada Grand Theft Auto en línea Servidor. Tiene la capacidad de criptominería, aunque estuvo inactivo mientras la actividad DDOS estaba en curso. En ocasiones quería atacar a otras empresas de seguridad o marcas de coches de lujo.

Investigadores de Akamai desmantelaron KmsdBot y lo sobrealimentaron con comandos gato neto cuando descubrieron que había dejado de enviar órdenes de ataque. Fue entonces cuando notaron que a un ataque a un sitio web centrado en criptografía le faltaba un espacio. Suponiendo que este comando se envió a todas las instancias de trabajo de KmsdBot, la mayoría de ellas fallaron y permanecieron inactivas. Si envía a KmsdBot una solicitud intencionalmente incorrecta, se detendría en un sistema local, lo que permitiría una recuperación y eliminación más sencillas.

Larry Cashdollar, ingeniero principal de respuesta de inteligencia de seguridad de Akamai, le dijo a DarkReading Casi toda la actividad de KmsdBot que su empresa rastreó se cerró, aunque los autores pueden intentar reinfectar los sistemas. Sin embargo, usar la autenticación de clave pública para conexiones de shell seguras, o al menos mejorar las credenciales, es la mejor defensa en primer lugar.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí