دوستف بوت نت

تركز شبكة الروبوتات الضارة "Ddostf" بشكل نشط على خوادم MySQL، بهدف الاستيلاء عليها لصالح منصة DDoS كخدمة التي تؤجر قوتها النارية لزملائها من مجرمي الإنترنت. وفقًا للنتائج التي توصل إليها الباحثون في مجال الأمن السيبراني، يستغل مشغلو Ddostf نقاط الضعف في بيئات MySQL التي لم يتم تصحيحها أو يستخدمون هجمات القوة الغاشمة على بيانات اعتماد حساب المسؤول الضعيفة لاختراق الخوادم المستهدفة.

يستغل المتسللون الذين يقفون وراء شبكة Ddostf Botnet وظائف مشروعة

يقوم المهاجمون السيبرانيون بمسح الإنترنت بشكل نشط بحثًا عن خوادم MySQL المكشوفة، وعند تحديد هويتهم، يستخدمون تقنيات القوة الغاشمة لاختراقها. في حالة خوادم Windows MySQL، تستخدم جهات التهديد ميزة تُعرف باسم الوظائف المحددة من قبل المستخدم (UDFs) لتنفيذ الأوامر على النظام المخترق.

UDF هي إحدى ميزات MySQL التي تمكن المستخدمين من تحديد الوظائف في C أو C++، وتجميعها في ملف DLL (مكتبة الارتباط الديناميكي) لتوسيع قدرات خادم قاعدة البيانات. في هذا السيناريو، يقوم المهاجمون بإنشاء UDFs الخاصة بهم وتسجيلها في خادم قاعدة البيانات، وتسمية ملف DLL "amd.dll" ودمج الوظائف الضارة، بما في ذلك:

• تنزيل الحمولات مثل روبوت Ddostf DDoS من خادم بعيد.
• تنفيذ أوامر عشوائية على مستوى النظام يرسلها المهاجمون.
• التقاط نتائج تنفيذ الأمر وتخزينها في ملف مؤقت وإرسالها مرة أخرى إلى المهاجمين.

يعمل استغلال UDFs كآلية لتحميل الحمولة الأساسية للهجوم — عميل Ddostf bot. ومع ذلك، فإن إساءة استخدام UDFs تفتح الباب أيضًا أمام التثبيت المحتمل لبرامج ضارة أخرى، واستخلاص البيانات، وإنشاء أبواب خلفية للوصول المستمر، والعديد من الأنشطة الضارة الأخرى.

يمكن لـ Ddostf Botnet الاتصال بعناوين القيادة والتحكم (C2) الجديدة

نشأت Ddostf في الصين، وهي عبارة عن شبكة روبوتات ضارة ظهرت منذ حوالي سبع سنوات، وتستهدف أنظمة Linux وWindows.

عند اختراق أنظمة Windows، تضمن البرامج الضارة الاستمرارية من خلال تسجيل نفسها كخدمة نظام أثناء تنفيذها الأولي. وبعد ذلك، يقوم بفك تشفير تكوين القيادة والتحكم (C2) الخاص به لإنشاء اتصال. تقوم البرامج الضارة بعد ذلك بجمع معلومات حول النظام المضيف، بما في ذلك تردد وحدة المعالجة المركزية وعدد النواة وتفاصيل اللغة وإصدار Windows وسرعة الشبكة والمزيد. يتم نقل هذه البيانات إلى خادم C2.

يتمتع خادم C2 بالقدرة على إصدار أوامر مختلفة لعميل الروبوتات، بدءًا من تعليمات هجوم DDoS (مثل هجمات SYN Flood وUDP Flood وHTTP GET/POST Flood) إلى طلبات إيقاف إرسال معلومات حالة النظام، والتغيير إلى عنوان C2 جديد، أو تنزيل حمولة جديدة وتنفيذها. تكمن ميزة Ddostf الفريدة في قدرته على الاتصال بعنوان C2 جديد، مما يوفر له المرونة ضد محاولات الإزالة - مما يميزه عن غالبية البرامج الضارة لشبكة DDoS.

وفي ضوء هذه التطورات، يوصي خبراء الأمن السيبراني مسؤولي MySQL بالبقاء يقظين من خلال تطبيق آخر التحديثات وتنفيذ إجراءات أمنية قوية، مثل استخدام كلمات مرور طويلة وفريدة من نوعها. يساعد هذا في حماية حسابات المسؤول من هجمات القوة الغاشمة المحتملة وهجمات القاموس.