Prije nedavne akcije čiji je cilj bilo gašenje DanaBot botneta, istraživači iz oblasti sajber bezbjednosti su iskoristili ranjivost u komandnim i kontrolnim (C&C) serverima botneta kako bi došli do vrijednih informacija.
Platforma za maliciozni softver DanaBot, dostupna kao usluga (malware-as-a-service), aktivna je od 2018. godine. Njeni operateri su prodavali pristup drugim sajber kriminalcima, koji su je koristili za krađu podataka, a u nekim slučajevima i za DDoS napade.
DanaBot botnet, koji je kompromitovao preko 300.000 uređaja i prouzrokovao štetu veću od 50 miliona dolara, bio je meta međunarodne policijske operacije u maju. Stotine servera i domena su zaplijenjeni, a više od deset osoba je optuženo.
Nakon sprovedene policijske operacije, otkriveno je da su DanaBot C&C serveri bili pogođeni ranjivošću koja je izazivala curenje memorije. Greška, koja je postojala od juna 2022. do početka 2025. godine, dobila je naziv DanaBleed od strane bezbjednosne firme Zscaler, zbog sličnosti sa ozloglašenom ranjivošću Heartbleed.
DanaBleed je povezana sa prilagođenim binarnim C&C protokolom koji koristi DanaBot. Promjena uvedena u junu 2022. izazivala je da C&C serveri u svojim odgovorima inficiranim uređajima „cure“ djelove memorije procesa.
„Curenje memorije je omogućavalo da do 1.792 bajta po odgovoru C&C servera bude izloženo. Sadržaj iscurjelih podataka bio je proizvoljan i zavisio je od koda koji se izvršavao i podataka kojima se upravljalo unutar procesa C&C servera u datom trenutku,“ objasnio je Zscaler.
Uprkos ovim ograničenjima, istraživači iz bezbjednosne firme uspjeli su da dobiju ono što opisuju kao „značajne uvide u DanaBot“, zahvaljujući curenju memorije prikupljenom tokom skoro tri godine.
Istraživači su izvukli vrijedne uvide u infrastrukturu i procese DanaBota, kao i u hakere koji stoje iza botneta.
Procurjeli podaci obuhvatali su korisnička imena i IP adrese sajber kriminalaca, IP adrese i domene pozadinskih C&C servera, statistike infekcija i izvlačenja podataka, ažuriranja verzija malvera i privatne kriptografske ključeve. U curenju su se nalazili i podaci o žrtvama, uključujući IP adrese, pristupne podatke i izvučene informacije.
„Procurjele informacije otkrile su sve – od podataka o pozadinskim serverima, logova za otklanjanje grešaka, SQL upita i kriptografskog materijala, do osjetljivih podataka žrtava i elemenata veb interfejsa C2 servera“, naveo je Zscaler.
DanaBot je ozbiljno pogođen nedavnom akcijom bezbjednosnih službi, ali Zscaler smatra da je još prerano da bi se procijenio dugoročni uticaj na ovaj botnet.
Izvor: SecurityWeek
