在 2022 年 6 月更新的 DanaBot 恶意软件操作中引入的最新漏洞，导致其在最近的执法行动中被识别并拆解了他们的操作。

DanaBot 是一个从 2018 年到 2025 年活跃的恶意软件即服务（MaaS）平台，用于银行欺诈、凭证盗窃、远程访问和分布式拒绝服务（DDoS）攻击。

Zscaler 的 ThreatLabz 研究人员发现了这个被称为 "DanaBleed" 的漏洞，他们解释说，内存泄漏使他们能够深入了解恶意软件的内部操作和幕后黑手。

利用该漏洞收集有关网络犯罪分子的宝贵情报，一项名为 Operation Endgame 的国际执法行动使 DanaBot 基础设施下线，并起诉了该威胁组织的 16 名成员。

DanaBleed

DanaBleed 漏洞是在 2022 年 6 月随 DataBot 2380 版本引入的，该版本新增了一个命令和控制（C2）协议。

新协议逻辑中的一个弱点是生成 C2 服务器对客户机的响应的机制，该机制应该包含随机生成的填充字节，但没有为这些字节初始化新分配的内存。

Zscaler 研究人员收集并分析了大量 C2 响应，由于内存泄漏错误，这些响应包含来自服务器内存的剩余数据片段。

这次暴露类似于 2014 年发现的 HeartBleed 问题，影响了无处不在的 OpenSSL 软件。随着时间的推移，DanaBleed 向研究人员提供了大量私人数据，包括：

·威胁参与者详细信息（用户名、IP 地址）

·后端基础设施（C2 服务器 ip / 域）

·受害者数据（IP 地址、凭据、泄露信息）

·恶意软件的更新日志

·私有密码密钥

·SQL 查询和调试日志

·C2 控制面板的 HTML 和网页界面片段

在三年多的时间里，DanaBot 一直以一种受攻击的模式运行，而其开发人员或客户却没有意识到他们被暴露给了安全研究人员。这使得当执法部门收集到足够的数据时便能一击即中。

C2 服务器响应中泄露的 HTML 数据

虽然 DanaBot 在俄罗斯的核心团队只是被起诉而没有被逮捕，但关键的 C2 服务器、650 个域名和近 400 万美元的加密货币被扣押已经有效地消除了目前的威胁。即使威胁者在未来试图重返网络犯罪活动，但其黑客社区信任度的下降也将是他们面临的一个重大障碍。