本文揭示了DanaBot恶意软件操作中一个关键漏洞，该漏洞在2022年6月被引入，导致其幕后操作被曝光。DanaBot是一个活跃于2018年至2025年的恶意软件即服务（MaaS）平台，涉及银行欺诈、凭证盗窃等犯罪活动。研究人员通过名为“DanaBleed”的漏洞，获取了大量关于网络犯罪分子的情报，最终促成了国际执法行动“Operation Endgame”，捣毁了DanaBot的基础设施并逮捕了相关人员。此次事件类似于2014年的HeartBleed问题，揭示了恶意软件的安全隐患。

🔍 DanaBleed漏洞：该漏洞于2022年6月被引入DanaBot 2380版本，源于新C2协议中未初始化填充字节的内存泄漏。这导致C2服务器的响应中包含了服务器内存中的残留数据，类似于HeartBleed问题。

💡 泄露的数据：通过DanaBleed，研究人员收集了大量敏感信息，包括威胁参与者的详细信息（用户名、IP地址）、后端基础设施（C2服务器IP/域名）、受害者数据（IP地址、凭据、泄露信息）、恶意软件更新日志、私有密码密钥、SQL查询和调试日志以及C2控制面板的HTML和网页界面片段。

🌍 执法行动：国际执法行动“Operation Endgame”利用DanaBleed漏洞收集的情报，成功下线了DanaBot基础设施，并起诉了该威胁组织的16名成员。关键的C2服务器、650个域名和近400万美元的加密货币被扣押。

⚠️ 影响与启示：虽然DanaBot的核心团队在俄罗斯，未被逮捕，但此次事件对他们的声誉造成了严重打击。即使他们未来试图重返网络犯罪活动，其黑客社区信任度的下降也将成为重大障碍。

在2022年6月更新的DanaBot恶意软件操作中引入的最新漏洞，导致其在最近的执法行动中被识别并拆解了他们的操作。

DanaBot是一个从2018年到2025年活跃的恶意软件即服务（MaaS）平台，用于银行欺诈、凭证盗窃、远程访问和分布式拒绝服务（DDoS）攻击。

Zscaler的ThreatLabz研究人员发现了这个被称为“DanaBleed”的漏洞，他们解释说，内存泄漏使他们能够深入了解恶意软件的内部操作和幕后黑手。

利用该漏洞收集有关网络犯罪分子的宝贵情报，一项名为Operation Endgame的国际执法行动使DanaBot基础设施下线，并起诉了该威胁组织的16名成员。

DanaBleed漏洞

DanaBleed漏洞是在2022年6月随DataBot 2380版本引入的，该版本新增了一个命令和控制（C2）协议。

新协议逻辑中的一个弱点是生成C2服务器对客户机的响应的机制，该机制应该包含随机生成的填充字节，但没有为这些字节初始化新分配的内存。

Zscaler研究人员收集并分析了大量C2响应，由于内存泄漏错误，这些响应包含来自服务器内存的剩余数据片段。

这次暴露类似于2014年发现的HeartBleed问题，影响了无处不在的OpenSSL软件。随着时间的推移，DanaBleed向研究人员提供了大量私人数据，包括：

·威胁参与者详细信息（用户名、IP地址）

·后端基础设施（C2服务器ip /域）

·受害者数据（IP地址、凭据、泄露信息）

·恶意软件的更新日志

·私有密码密钥

·SQL查询和调试日志

·C2控制面板的HTML和网页界面片段

在三年多的时间里，DanaBot一直以一种受攻击的模式运行，而其开发人员或客户却没有意识到他们被暴露给了安全研究人员。这使得当执法部门收集到足够的数据时便能一击即中。

C2服务器响应中泄露的HTML数据

虽然DanaBot在俄罗斯的核心团队只是被起诉而没有被逮捕，但关键的C2服务器、650个域名和近400万美元的加密货币被扣押已经有效地消除了目前的威胁。即使威胁者在未来试图重返网络犯罪活动，但其黑客社区信任度的下降也将是他们面临的一个重大障碍。

参考及来源：https://www.bleepingcomputer.com/news/security/danabot-malware-operators-exposed-via-c2-bug-added-in-2022/