Botnet Ddostf

Malwarový botnet 'Ddostf' se aktivně zaměřuje na servery MySQL a snaží se je unést pro platformu DDoS-as-a-Service, která pronajímá svou palebnou sílu dalším kyberzločincům. Podle zjištění výzkumníků v oblasti kybernetické bezpečnosti provozovatelé Ddostf využívají zranitelnosti v prostředí MySQL, které nebyly opraveny, nebo používají útoky hrubou silou na slabé přihlašovací údaje administrátorského účtu ke kompromitaci cílových serverů.

Hackeři stojící za botnetem Ddostf využívají legitimní funkce

Kybernetičtí útočníci aktivně skenují internet, zda nehledají odhalené servery MySQL, a po identifikaci využívají techniky hrubé síly k jejich prolomení. V případě serverů Windows MySQL využívají aktéři hrozeb funkci známou jako uživatelsky definované funkce (UDF) ke spouštění příkazů v napadeném systému.

UDF je funkce MySQL, která umožňuje uživatelům definovat funkce v C nebo C++ a zkompilovat je do souboru DLL (dynamická knihovna), aby se rozšířily možnosti databázového serveru. V tomto scénáři útočníci vytvoří své vlastní UDF a zaregistrují je na databázovém serveru, přičemž pojmenují soubor DLL „amd.dll“ a začlení škodlivé funkce, včetně:

• Stahování dat, jako je bot Ddostf DDoS ze vzdáleného serveru.
• Provádění libovolných příkazů na úrovni systému odeslaných útočníky.
• Zachycení výsledků provádění příkazů, jejich uložení do dočasného souboru a jejich odeslání zpět útočníkům.

Využívání UDF slouží jako mechanismus pro načítání primárního užitečného zatížení útoku – klienta bota Ddostf. Toto zneužívání UDF však také otevírá dveře potenciální instalaci dalšího malwaru, exfiltraci dat, vytváření zadních vrátek pro trvalý přístup a různým dalším škodlivým aktivitám.

Botnet Ddostf se může připojit k novým adresám Command-and-Control (C2).

Ddostf pocházející z Číny je malwarový botnet, který se objevil asi před sedmi lety a zaměřuje se na systémy Linux i Windows.

Při infiltraci systémů Windows zajistí malware perzistenci tím, že se během počátečního spuštění zaregistruje jako systémová služba. Následně dešifruje svou konfiguraci Command-and-Control (C2) a naváže spojení. Malware pak shromažďuje informace o hostitelském systému, včetně frekvence CPU, počtu jader, jazykových podrobností, verze Windows, rychlosti sítě a dalších. Tato data jsou přenášena na server C2.

Server C2 má schopnost vydávat různé příkazy klientovi botnetu, od pokynů k útoku DDoS (jako jsou útoky SYN Flood, UDP Flood a HTTP GET/POST Flood) až po požadavky na přerušení přenosu informací o stavu systému, až po novou adresu C2 nebo stažení a spuštění nového užitečného zatížení. Jedinečná funkce Ddostf spočívá v jeho schopnosti připojit se k nové adrese C2, což mu poskytuje odolnost proti pokusům o odebrání, čímž se odlišuje od většiny malwaru botnetu DDoS.

Ve světle tohoto vývoje odborníci na kybernetickou bezpečnost doporučují, aby správci MySQL zůstali ostražití a používali nejnovější aktualizace a implementovali robustní bezpečnostní opatření, jako je používání dlouhých a jedinečných hesel. To pomáhá chránit účty administrátorů před potenciálními útoky hrubou silou a slovníkovými útoky.