Ddostf ботнет

Ботнетът за злонамерен софтуер „Ddostf“ активно се фокусира върху MySQL сървъри, целяйки да ги отвлече за платформа DDoS-as-a-Service, която дава под наем огневата си мощ на други киберпрестъпници. Според констатациите на изследователите по киберсигурност, операторите на Ddostf използват уязвимости в MySQL среди, които не са коригирани, или използват груби атаки срещу слаби идентификационни данни на администраторски акаунт, за да компрометират целевите сървъри.

Хакерите зад ботнета Ddostf експлоатират легитимни функции

Кибер нападателите активно сканират интернет за открити MySQL сървъри и при идентифициране използват техники за груба сила, за да ги пробият. В случай на Windows MySQL сървъри, участниците в заплахата използват функция, известна като дефинирани от потребителя функции (UDF), за да изпълняват команди на компрометираната система.

UDF е функция на MySQL, която позволява на потребителите да дефинират функции в C или C++, като ги компилират в DLL (библиотека с динамични връзки) файл, за да разширят възможностите на сървъра на базата данни. В този сценарий атакуващите изработват свои собствени UDF и ги регистрират в сървъра на базата данни, като наименуват DLL файла „amd.dll“ и включват злонамерени функции, включително:

• Изтегляне на полезни товари, като Ddostf DDoS бот от отдалечен сървър.
• Изпълнение на произволни команди на системно ниво, изпратени от нападателите.
• Улавяне на резултатите от изпълнението на командата, съхраняването им във временен файл и изпращането им обратно на нападателите.

Използването на UDF служи като механизъм за зареждане на основния полезен товар на атаката - Ddostf бот клиента. Тази злоупотреба с UDF обаче също така отваря вратата за потенциално инсталиране на друг злонамерен софтуер, ексфилтрация на данни, създаване на задни врати за постоянен достъп и различни други злонамерени дейности.

Ботнетът Ddostf може да се свързва с нови адреси за командване и управление (C2).

Произхождащ от Китай, Ddostf е ботнет за злонамерен софтуер, който се появи преди около седем години, насочен към Linux и Windows системи.

При проникване в системите на Windows зловредният софтуер осигурява устойчивост, като се регистрира като системна услуга по време на първоначалното си изпълнение. Впоследствие той дешифрира своята конфигурация за командване и управление (C2), за да установи връзка. След това зловредният софтуер събира информация за хост системата, включително честота на процесора, брой ядра, подробности за езика, версия на Windows, скорост на мрежата и др. Тези данни се предават на сървъра C2.

Сървърът C2 има способността да издава различни команди към ботнет клиента, вариращи от инструкции за DDoS атака (като SYN Flood, UDP Flood и HTTP GET/POST Flood атаки) до заявки за прекъсване на предаването на информация за състоянието на системата, промяна на нов C2 адрес или изтегляне и изпълнение на нов полезен товар. Уникалната характеристика на Ddostf се крие в способността му да се свързва с нов C2 адрес, осигурявайки му устойчивост срещу опити за сваляне – което го отличава от по-голямата част от DDoS ботнет злонамерен софтуер.

В светлината на тези развития експертите по киберсигурност препоръчват администраторите на MySQL да останат бдителни, като прилагат най-новите актуализации и прилагат стабилни мерки за сигурност, като например използване на дълги и уникални пароли. Това помага да се предпазят администраторските акаунти от потенциална груба сила и речникови атаки.