此前,Akamai安全研究人员披露了KmsdBot僵尸网??络,该僵尸网络主要通过SSH爆破和弱口令传播。在他们对僵尸网络的持续跟进中,研究人员注意到了一些有趣的事情。C&C控制恶意活动最致命的方面是夺取C&C服务器的控制权。研究人员修改了KmsdBot的示例文件,使其能够在受控环境中进行通信。研究人员向恶意软件发送了自己的命令,以测试KmsdBot僵尸网络的功能和攻击特征。一天,在攻击者发送格式错误的命令后,恶意软件完全崩溃了。研究人员调查发现,这种自杀行为在网络安全领域并不少见。研究人员通过检查sys.main.connect()函数并输出反汇编代码,确定了存储C&C服务器IP地址和端口的代码。sys.main.connect()函数的反汇编C&C服务器字符串存储在内存地址0x00632f19中,该地址被修改为受控环境的IP地址。它可以像C&C服务器一样发送攻击指令。重写C&C服务器地址重写的C&C服务器为192.168.0.31,开放端口57388,在该主机上使用Netcat模拟C&C服务器。期间发现僵尸网络在收到攻击者格式错误的指令后停止运行。命令为:!bigdatawww.bitcoin.com443/3033100可以看到域名和端口是直连的,恶意软件代码中并没有内置验证命令格式是否正确的函数.一条格式错误的命令会导致Go语言开发的二进制文件直接因为“indexoutofbounds”而崩溃,格式错误的命令会导致参数个数错误。使用受控环境也可以重现该问题:重新发送格式错误的命令恶意软件崩溃格式错误的命令使所有与C&C服务器通信的恶意软件崩溃,从而杀死整个僵尸网络。由于僵尸网络没有持久化功能,只能重建,无法直接恢复。结论在网络安全世界中很少听到这种说法,在这个充满零日漏洞和警报的疲惫世界中,如果可以因攻击者的错误而消除威胁,那是一件好事。KmsdBot僵尸网??络一直在攻击大型奢侈品公司和游戏公司,未来攻击者可能会更加小心谨慎。
