此前，Akamai 的安全研究員披露了 KmsdBot 僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)主要通過 SSH 爆破與弱口令進(jìn)行傳播。在對(duì)該僵尸網(wǎng)絡(luò)的持續(xù)跟蹤中，研究人員發(fā)現(xiàn)了一些有趣的事情。

對(duì)惡意活動(dòng)來說，最致命的就是奪取對(duì) C&C 服務(wù)器的控制。研究人員修改了 KmsdBot 的樣本文件，使其能夠在受控環(huán)境下進(jìn)行通信。

研究人員向惡意軟件發(fā)送自己的命令來測(cè)試 KmsdBot 僵尸網(wǎng)絡(luò)的功能與攻擊特征。有一天，在攻擊者發(fā)送一個(gè)格式不正確的命令后，惡意軟件就徹底崩潰。這種自殺式的行為在網(wǎng)絡(luò)安全界可不多見，研究人員進(jìn)行了一番調(diào)查。

按圖索驥

研究人員通過檢查 sys.main.connect() 函數(shù)并輸出反匯編代碼，來確定存儲(chǔ) C&C 服務(wù)器的 IP 地址與端口的代碼。

sys.main.connect() 函數(shù)的反匯編

C&C 服務(wù)器的字符串存儲(chǔ)在內(nèi)存地址 0x00632f19，將其修改為受控環(huán)境的 IP 地址。就能夠像 C&C 服務(wù)器一樣發(fā)送攻擊指令。

改寫 C&C 服務(wù)器地址

改寫后的 C&C 服務(wù)器是開放端口 57388 的 192.168.0.31。在這臺(tái)主機(jī)上使用 Netcat 來模擬 C&C 服務(wù)器。

期間，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)在收到攻擊者下發(fā)的格式錯(cuò)誤的指令后就停止運(yùn)行了。命令為：

!bigdata www.bitcoin.com443 / 30 3 3 100

可以看到域名與端口之間直接連接，且惡意軟件的代碼中也沒有內(nèi)置校驗(yàn)命令格式是否正確的功能。

格式錯(cuò)誤的命令將會(huì)導(dǎo)致 Go 語(yǔ)言開發(fā)的二進(jìn)制文件直接由于“索引越界”而崩潰，錯(cuò)誤的格式產(chǎn)生參數(shù)數(shù)量的錯(cuò)誤。使用受控環(huán)境也能夠復(fù)現(xiàn)這一問題：

復(fù)現(xiàn)重新發(fā)送格式錯(cuò)誤的指令

惡意軟件崩潰

格式錯(cuò)誤的命令會(huì)導(dǎo)致與 C&C 服務(wù)器通信的所有惡意軟件都崩潰，導(dǎo)致整個(gè)僵尸網(wǎng)絡(luò)終止運(yùn)行。由于該僵尸網(wǎng)絡(luò)并沒有任何持久化功能，唯一的方法就是重新構(gòu)建，無(wú)法直接恢復(fù)。

結(jié)論

在網(wǎng)絡(luò)安全領(lǐng)域很少聽到此類情況，在這個(gè)被 0day 漏洞和各種告警折磨的精疲力竭的世界，如果由于攻擊者的失誤就能清除威脅也不失為一件好事。KmsdBot 僵尸網(wǎng)絡(luò)一直在攻擊大型的奢侈品公司與游戲公司，攻擊者以后可能會(huì)更加小心和注意。