Descomptes multi-llicència
Threat Database Botnets Ddostf Botnet

Ddostf Botnet

El Mezo el Botnets
Traduir a:
Català

La botnet de programari maliciós "Ddostf" s'està centrant activament en els servidors MySQL, amb l'objectiu de segrestar-los per a una plataforma DDoS-as-a-Service que lloga la seva potència de foc a altres cibercriminals. Segons les troballes dels investigadors de ciberseguretat, els operadors de Ddostf exploten vulnerabilitats en entorns MySQL que no s'han pegat o utilitzen atacs de força bruta a credencials febles del compte d'administrador per comprometre els servidors objectiu.

Els pirates informàtics darrere de la botnet Ddostf exploten funcions legítimes

Els ciberatacants estan explorant Internet activament a la recerca de servidors MySQL exposats i, un cop identificats, utilitzen tècniques de força bruta per trencar-los. En el cas dels servidors Windows MySQL, els actors d'amenaça utilitzen una característica coneguda com a funcions definides per l'usuari (UDF) per executar ordres al sistema compromès.

UDF és una característica de MySQL que permet als usuaris definir funcions en C o C++, compilant-les en un fitxer DLL (biblioteca d'enllaços dinàmics) per ampliar les capacitats del servidor de bases de dades. En aquest escenari, els atacants creen els seus propis UDF i els registren al servidor de bases de dades, anomenant el fitxer DLL "amd.dll" i incorporant funcions malicioses, com ara:

  • Descàrrega de càrregues útils com ara el bot Ddostf DDoS des d'un servidor remot.
  • Execució d'ordres arbitràries a nivell de sistema enviades pels atacants.
  • Capturar els resultats de l'execució d'ordres, emmagatzemar-los en un fitxer temporal i enviar-los de nou als atacants.

L'explotació d'UDF serveix com a mecanisme per carregar la càrrega útil principal de l'atac: el client bot Ddostf. Tanmateix, aquest abús de les UDF també obre la porta a la instal·lació potencial d'altres programes maliciosos, l'exfiltració de dades, l'establiment de portes posteriors per a l'accés persistent i altres activitats malicioses.

La botnet Ddostf es pot connectar a noves adreces de comandament i control (C2).

Originari de la Xina, Ddostf és una botnet de programari maliciós que va sorgir fa uns set anys, dirigida tant a sistemes Linux com Windows.

En infiltrar-se en els sistemes Windows, el programari maliciós garanteix la persistència registrant-se com a servei del sistema durant la seva execució inicial. Posteriorment, desxifra la seva configuració de comandament i control (C2) per establir una connexió. Aleshores, el programari maliciós recopila informació sobre el sistema amfitrió, inclosa la freqüència de la CPU, el nombre de nuclis, els detalls de l'idioma, la versió de Windows, la velocitat de la xarxa i molt més. Aquestes dades es transmeten al servidor C2.

El servidor C2 té la capacitat d'emetre diverses ordres al client de botnet, que van des d'instruccions d'atac DDoS (com ara atacs SYN Flood, UDP Flood i HTTP GET/POST Flood) fins a sol·licituds per suspendre la transmissió d'informació d'estat del sistema, canviant a una nova adreça C2, o bé baixant i executant una nova càrrega útil. La característica única de Ddostf rau en la seva capacitat per connectar-se a una nova adreça C2, proporcionant-li resistència als intents de retirada, diferenciant-lo de la majoria del programari maliciós de botnets DDoS.

A la llum d'aquests desenvolupaments, els experts en ciberseguretat recomanen que els administradors de MySQL estiguin vigilants aplicant les últimes actualitzacions i implementant mesures de seguretat sòlides, com ara l'ús de contrasenyes llargues i úniques. Això ajuda a protegir els comptes d'administrador de possibles atacs de força bruta i de diccionari.

Tendència

Més vist

Carregant...