Multi-licens rabatter
Threat Database Botnets Ddostf Botnet

Ddostf Botnet

Med Mezo i Botnets
Oversæt til:
Dansk

'Ddostf' malware-botnet fokuserer aktivt på MySQL-servere med det formål at kapre dem til en DDoS-as-a-Service-platform, der lejer sin ildkraft til andre cyberkriminelle. Ifølge cybersikkerhedsforskernes resultater udnytter operatørerne af Ddostf sårbarheder i MySQL-miljøer, der ikke er blevet rettet, eller anvender brute-force-angreb på svage administratorkontolegitimationsoplysninger for at kompromittere de målrettede servere.

Hackerne bag Ddostf Botnet udnytter legitime funktioner

Cyberangribere scanner aktivt internettet for udsatte MySQL-servere og anvender, efter identifikation, brute-force-teknikker til at bryde dem. I tilfælde af Windows MySQL-servere bruger trusselsaktører en funktion kendt som brugerdefinerede funktioner (UDF'er) til at udføre kommandoer på det kompromitterede system.

UDF er en MySQL-funktion, der gør det muligt for brugere at definere funktioner i C eller C++ og kompilere dem til en DLL-fil (dynamic link library) for at udvide databaseserverens muligheder. I dette scenarie laver angribere deres egne UDF'er og registrerer dem på databaseserveren, navngiver DLL-filen 'amd.dll' og inkorporerer ondsindede funktioner, herunder:

  • Download af nyttelast såsom Ddostf DDoS-bot fra en ekstern server.
  • Udførelse af vilkårlige kommandoer på systemniveau sendt af angriberne.
  • Fange resultaterne af kommandoudførelsen, gemme dem i en midlertidig fil og sende dem tilbage til angriberne.

Udnyttelse af UDF'er tjener som en mekanisme til at indlæse angrebets primære nyttelast - Ddostf-botklienten. Dette misbrug af UDF'er åbner dog også døren til potentiel installation af anden malware, dataeksfiltrering, etablering af bagdøre for vedvarende adgang og forskellige andre ondsindede aktiviteter.

Ddostf-botnettet kan oprette forbindelse til nye kommando-og-kontrol-adresser (C2).

Ddostf, der stammer fra Kina, er et malware-botnet, der dukkede op for omkring syv år siden, rettet mod både Linux- og Windows-systemer.

Ved infiltrering af Windows-systemer sikrer malwaren vedholdenhed ved at registrere sig selv som en systemtjeneste under dens første udførelse. Efterfølgende dekrypterer den sin Command-and-Control (C2)-konfiguration for at etablere en forbindelse. Malwaren indsamler derefter oplysninger om værtssystemet, inklusive CPU-frekvens, kerneantal, sprogdetaljer, Windows-version, netværkshastighed og mere. Disse data overføres til C2-serveren.

C2-serveren har mulighed for at udstede forskellige kommandoer til botnet-klienten, lige fra DDoS-angrebsinstruktioner (såsom SYN Flood, UDP Flood og HTTP GET/POST Flood-angreb) til anmodninger om at afbryde transmissionen af systemstatusinformation, ændring til en ny C2-adresse, eller download og eksekvering af en ny nyttelast. Ddostfs unikke egenskab ligger i dens evne til at oprette forbindelse til en ny C2-adresse, hvilket giver den modstandsdygtighed mod fjernelsesforsøg – adskiller den fra størstedelen af DDoS-botnet-malwaren.

I lyset af denne udvikling anbefaler cybersikkerhedseksperter, at MySQL-administratorer forbliver på vagt ved at anvende de seneste opdateringer og implementere robuste sikkerhedsforanstaltninger, såsom at bruge lange og unikke adgangskoder. Dette hjælper med at beskytte administratorkonti mod potentielle brute force og ordbogsangreb.

Trending

Mest sete

Indlæser...