KmsdBot, una botnet de criptominería que también podría usarse para ataques de denegación de servicio (DDOS), irrumpió en los sistemas a través de credenciales de shell seguras débiles. Podía controlar un sistema de forma remota, era difícil realizar ingeniería inversa, no permanecía persistente y podía apuntar a múltiples arquitecturas. KmsdBot era un malware complejo que no tenía solución fácil.
Así fue hasta
Sin verificación de errores incorporada, enviar a KmsdBot un comando mal formado, como lo hicieron sus controladores un día mientras Akamai estaba observando, creó un bloqueo de pánico con un error de “índice fuera de rango”. Debido a que no hay persistencia, el bot permanece inactivo y los agentes malintencionados tendrían que volver a infectar una máquina y reconstruir las funciones del bot. Es, como señala Akamai, “una buena historia” y “un fuerte ejemplo de la naturaleza voluble de la tecnología”.
KmsdBot es un malware moderno intrigante. Está escrito en Golang, en parte porque
Los investigadores de Akamai estaban desarmando KmsdBot y enviándole comandos a través de cuando descubrieron que había dejado de enviar comandos de ataque. Fue entonces cuando notaron que a un ataque a un sitio web centrado en criptografía le faltaba un espacio. Suponiendo que ese comando se envió a todas las instancias de trabajo de KmsdBot, la mayoría de ellos fallaron y permanecieron inactivos. Alimentar a KmsdBot con una solicitud intencionalmente incorrecta lo detendría en un sistema local, lo que permitiría una recuperación y eliminación más sencillas.
Larry Cashdollar, ingeniero principal de respuesta de inteligencia de seguridad de Akamai, le dijo a DarkReading que , aunque los autores pueden estar intentando volver a infectar los sistemas. Sin embargo, el uso de autenticación de clave pública para conexiones de shell seguras o, como mínimo, mejorar las credenciales de inicio de sesión, es la mejor defensa en primer lugar.