Sicherheitsforscher des CDN-Betreibers Akamai haben eher durch Zufall eine sehr einfache Möglichkeit gefunden, eine der bisher komplexesten Botnetz-Malwares außer Gefecht zu setzen: Es genügte, wenn man an der richtigen Stelle ein Leerzeichen vergisst.

Duale Nutzbarkeit

Bei der Malware handelt es sich um den KmsdBot. Sie bildet die Grundlage für ein Botnetz, das für das Kryptomining und DDoS-Angriffe eingesetzt werden kann. Betroffene Systeme wurden dabei jeweils über schwache Secure-Shell-Logins infiziert. Die Malware ist in der Lage, verschiedene Systemarchitekturen anzugreifen und wenn sie sich einmal festgesetzt hat, lässt sie sich nur mit erheblichem Aufwand wieder entfernen.Auch eine Stilllegung aus der Ferne - eine der wichtigsten Waffen gegen Botnetze - schien kaum möglich. Die Autoren der Malware hatten verschiedene Entscheidungen getroffen, die eine Analyse und ein Reverse Engineering der Malware erschwerten. Beim Versuch, den Schädling von außen anzusprechen, vergaßen die Akamai-Forscher allerdings zufällig ein Leerzeichen zwischen der Angabe der IP-Adresse und des Ports, berichtete Ars Technica Da offenbar keine Fehlerverarbeitung in die Malware eingebaut ist, stürzt der Bot dann einfach mit der Meldung "index out of range" ab. Anschließend müsste das System dann neu infiziert werden, um es wieder für das Botnetz nutzbar zu machen. Die Akamai-Forscher kommentierten dies als "gutes Beispiel für die Unbeständigkeit einer hoch entwickelten Technologie".Bei dem CDN-Betreiber wurde man auf die Malware aufmerksam, als diese in einem Honeypot hängenblieb. Die Betreiber versuchten zu dieser Zeit private Grand Theft Auto Online-Server zu infizieren. Analysen zeigten, dass auch Sicherheitsunternehmen oder Luxusautomarken angegriffen wurden. In einem aktiven Modus wurde das Botnetz für DDoS-Angriffe eingesetzt, wurden die kontrollierten Rechner gerade nicht für einen solchen Zweck benötigt, begannen sie automatisch mit dem Mining von Kryptowährungen.