日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
攻擊者失手,自己殺死了僵尸網(wǎng)絡(luò) KmsdBot

此前,Akamai 的安全研究員披露了 KmsdBot 僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)主要通過 SSH 爆破與弱口令進行傳播。在對該僵尸網(wǎng)絡(luò)的持續(xù)跟蹤中,研究人員發(fā)現(xiàn)了一些有趣的事情。

C&C 控制

對惡意活動來說,最致命的就是奪取對 C&C 服務(wù)器的控制。研究人員修改了 KmsdBot 的樣本文件,使其能夠在受控環(huán)境下進行通信。

研究人員向惡意軟件發(fā)送自己的命令來測試 KmsdBot 僵尸網(wǎng)絡(luò)的功能與攻擊特征。有一天,在攻擊者發(fā)送一個格式不正確的命令后,惡意軟件就徹底崩潰。這種自殺式的行為在網(wǎng)絡(luò)安全界可不多見,研究人員進行了一番調(diào)查。

按圖索驥

研究人員通過檢查 sys.main.connect() 函數(shù)并輸出反匯編代碼,來確定存儲 C&C 服務(wù)器的 IP 地址與端口的代碼。

sys.main.connect() 函數(shù)的反匯編

C&C 服務(wù)器的字符串存儲在內(nèi)存地址 0x00632f19,將其修改為受控環(huán)境的 IP 地址。就能夠像 C&C 服務(wù)器一樣發(fā)送攻擊指令。

改寫 C&C 服務(wù)器地址

改寫后的 C&C 服務(wù)器是開放端口 57388 的 192.168.0.31。在這臺主機上使用 Netcat 來模擬 C&C 服務(wù)器。

期間,發(fā)現(xiàn)僵尸網(wǎng)絡(luò)在收到攻擊者下發(fā)的格式錯誤的指令后就停止運行了。命令為:

!bigdata www.bitcoin.com443 / 30 3 3 100

可以看到域名與端口之間直接連接,且惡意軟件的代碼中也沒有內(nèi)置校驗命令格式是否正確的功能。

格式錯誤的命令將會導(dǎo)致 Go 語言開發(fā)的二進制文件直接由于“索引越界”而崩潰,錯誤的格式產(chǎn)生參數(shù)數(shù)量的錯誤。使用受控環(huán)境也能夠復(fù)現(xiàn)這一問題:

復(fù)現(xiàn)重新發(fā)送格式錯誤的指令

惡意軟件崩潰

格式錯誤的命令會導(dǎo)致與 C&C 服務(wù)器通信的所有惡意軟件都崩潰,導(dǎo)致整個僵尸網(wǎng)絡(luò)終止運行。由于該僵尸網(wǎng)絡(luò)并沒有任何持久化功能,唯一的方法就是重新構(gòu)建,無法直接恢復(fù)。

結(jié)論

在網(wǎng)絡(luò)安全領(lǐng)域很少聽到此類情況,在這個被 0day 漏洞和各種告警折磨的精疲力竭的世界,如果由于攻擊者的失誤就能清除威脅也不失為一件好事。KmsdBot 僵尸網(wǎng)絡(luò)一直在攻擊大型的奢侈品公司與游戲公司,攻擊者以后可能會更加小心和注意。


分享名稱:攻擊者失手,自己殺死了僵尸網(wǎng)絡(luò) KmsdBot
網(wǎng)站URL:http://www.5511xx.com/article/coopsis.html