いささか旧聞ではあるが、Akamai の研究者がボットネット KmsdBot を監視していたところ、突然クラッシュしてしまったそうだ。調査の結果、ボットネット運用者によるコマンドのタイプミスが原因と判明したという (Akamai のブログ記事、 Ars Technica の記事、 The Register の記事)。

KmsdBot は DDoS 攻撃を実行する機能も備える暗号通貨採掘ボットネット。弱い認証情報を使用する SSH 接続を通じてシステムに感染していくという。リバースエンジニアリングの困難さから攻撃者に選ばれることが増えつつある Go 言語で書かれている。Akamai ではハニーポットに感染した KmsdBot を分析していた。

クラッシュの原因を調べるため、Akamai ではボットネットの C2 に代わって機能し、攻撃の実行コマンドを送信する自前の C2 を作成。2 つの仮想マシンを用意して 1 つにボットを感染させ、もう 1 つを C2 としてコマンドを送信する実験を実行したところ、「!bigdata www.bitcoin.com443 / 30 3 3 100」というコマンドでボットネットが停止したそうだ。

一目でお気付きになった方も多いと思われるが、このコマンドはドメイン名とポート番号がスペースで区切られていない。ボットは構文エラーをチェックする機能を備えておらず、引数の数が正しくないコマンドを受け取った Go バイナリはインデックス範囲外の指定エラーによりクラッシュする。

これにより、C2 と通信したすべての感染マシンでボットのコードがクラッシュし、ボットネット全体が停止したとみられる。ボットは感染マシンで実行を持続する機能を備えておらず、ボットネットを復元するには再度感染させて再構築する必要があるとのことだ。