いささか旧聞ではあるが、Akamai の研究者がボットネット KmsdBot を監視していたところ、突然クラッシュしてしまったそうだ。調査の結果、ボットネット運用者によるコマンドのタイプミスが原因と判明したという (Akamai のブログ記事、 Ars Technica の記事、 The Register の記事)。

KmsdBot は DDoS 攻撃を実行する機能も備える暗号通貨採掘ボットネット。弱い認証情報を使用する SSH 接続を通じてシステムに感染していくという。リバースエンジニアリングの困難さから攻撃者に選ばれることが増えつつある Go 言語で書かれている。Akamai ではハニーポットに感染した KmsdBot を分析していた。

クラッシュの原因を調べるため、Akamai ではボットネットの C2 に代わって機能し、攻撃の実行コマンドを送信する自前の C2 を作成。2 つの仮想マシンを用意して 1 つにボットを感染させ、もう 1 つを C2 としてコマンドを送信する実験を実行したところ、「!bigdata www.bitcoin.com443 / 30 3 3 100」というコマンドでボットネットが停止したそうだ。

一目でお気付きになった方も多いと思われるが、このコマンドはドメイン名とポート番号がスペースで区切られていない。ボットは構文エラーをチェックする機能を備えておらず、引数の数が正しくないコマンドを受け取った Go バイナリはインデックス範囲外の指定エラーによりクラッシュする。

これにより、C2 と通信したすべての感染マシンでボットのコードがクラッシュし、ボットネット全体が停止したとみられる。ボットは感染マシンで実行を持続する機能を備えておらず、ボットネットを復元するには再度感染させて再構築する必要があるとのことだ。

すべて読む | ITセクション | セキュリティ | 変なモノ | ボットネット |

関連ストーリー：
埼玉大学で10ヶ月以上gmailをgmaiと間違えて4890件のメールを誤配信 2022年11月24日
ドメイン名のミスタイプを狙った大規模なタイポスクワッティングキャンペーンが確認される 2022年10月31日
終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 2021年11月23日
台湾の原発、技術者が制御室を清掃する際に動かした椅子がスイッチのカバーに触れて停止するトラブル 2021年07月30日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
Microsoft、悪意あるドライバに署名を与えてしまったと発表 2021年06月28日
Cloudflare、ケーブルを誤って抜いてしまい4時間以上の障害発生 2020年04月21日
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
WannaCryptの拡散を止めた英国のセキュリティ研究者、別のマルウェアの作者として米国で逮捕 2017年08月05日
35万以上のアカウントから構成されたTwitterボットネットが発見される 2017年01月31日
国内のC&Cサーバーにインターネットバンキングの口座情報13,000件が蓄積されていた 2014年05月03日