Ddostf Botnet

Το botnet κακόβουλου λογισμικού «Ddostf» εστιάζει ενεργά στους διακομιστές MySQL, με στόχο να τους παραβιάσει για μια πλατφόρμα DDoS-as-a-Service που νοικιάζει τη δύναμη πυρός του σε άλλους εγκληματίες του κυβερνοχώρου. Σύμφωνα με τα ευρήματα των ερευνητών στον τομέα της κυβερνοασφάλειας, οι χειριστές του Ddostf εκμεταλλεύονται ευπάθειες σε περιβάλλοντα MySQL που δεν έχουν επιδιορθωθεί ή χρησιμοποιούν επιθέσεις ωμής βίας σε αδύναμα διαπιστευτήρια λογαριασμού διαχειριστή για να παραβιάσουν τους στοχευμένους διακομιστές.

Οι χάκερ πίσω από το Ddostf Botnet εκμεταλλεύονται νόμιμες λειτουργίες

Οι εισβολείς στον κυβερνοχώρο σαρώνουν ενεργά το Διαδίκτυο για εκτεθειμένους διακομιστές MySQL και, μετά την ταυτοποίησή τους, χρησιμοποιούν τεχνικές ωμής βίας για να τους παραβιάσουν. Στην περίπτωση των διακομιστών Windows MySQL, οι φορείς απειλών χρησιμοποιούν μια δυνατότητα γνωστή ως συναρτήσεις καθορισμένες από το χρήστη (UDF) για την εκτέλεση εντολών στο παραβιασμένο σύστημα.

Το UDF είναι μια δυνατότητα MySQL που επιτρέπει στους χρήστες να ορίζουν συναρτήσεις σε C ή C++, μεταγλωττίζοντάς τις σε ένα αρχείο DLL (βιβλιοθήκη δυναμικής σύνδεσης) για να επεκτείνουν τις δυνατότητες του διακομιστή βάσης δεδομένων. Σε αυτό το σενάριο, οι εισβολείς δημιουργούν τα δικά τους UDF και τα καταχωρούν στον διακομιστή βάσης δεδομένων, ονομάζοντας το αρχείο DLL «amd.dll» και ενσωματώνοντας κακόβουλες λειτουργίες, όπως:

• Λήψη ωφέλιμων φορτίων όπως το bot Ddostf DDoS από απομακρυσμένο διακομιστή.
• Εκτέλεση αυθαίρετων εντολών σε επίπεδο συστήματος που αποστέλλονται από τους εισβολείς.
• Καταγραφή των αποτελεσμάτων της εκτέλεσης εντολών, αποθήκευση τους σε ένα προσωρινό αρχείο και αποστολή τους πίσω στους εισβολείς.

Η εκμετάλλευση των UDF χρησιμεύει ως μηχανισμός για τη φόρτωση του κύριου ωφέλιμου φορτίου της επίθεσης - του προγράμματος-πελάτη Ddostf bot. Ωστόσο, αυτή η κατάχρηση των UDF ανοίγει επίσης την πόρτα για πιθανή εγκατάσταση άλλου κακόβουλου λογισμικού, εξαγωγή δεδομένων, δημιουργία θυρών για μόνιμη πρόσβαση και διάφορες άλλες κακόβουλες δραστηριότητες.

Το Ddostf Botnet μπορεί να συνδεθεί με νέες διευθύνσεις Command-and-Control (C2).

Με καταγωγή από την Κίνα, το Ddostf είναι ένα botnet κακόβουλου λογισμικού που εμφανίστηκε πριν από περίπου επτά χρόνια, στοχεύοντας τόσο συστήματα Linux όσο και Windows.

Κατά την διείσδυση σε συστήματα Windows, το κακόβουλο λογισμικό διασφαλίζει την παραμονή του εγγράφοντας τον εαυτό του ως υπηρεσία συστήματος κατά την αρχική του εκτέλεση. Στη συνέχεια, αποκρυπτογραφεί τη διαμόρφωση Command-and-Control (C2) για να δημιουργήσει μια σύνδεση. Στη συνέχεια, το κακόβουλο λογισμικό συλλέγει πληροφορίες σχετικά με το κεντρικό σύστημα, συμπεριλαμβανομένης της συχνότητας CPU, του αριθμού πυρήνων, των λεπτομερειών γλώσσας, της έκδοσης των Windows, της ταχύτητας δικτύου και άλλων. Αυτά τα δεδομένα μεταδίδονται στον διακομιστή C2.

Ο διακομιστής C2 έχει τη δυνατότητα να εκδίδει διάφορες εντολές στον πελάτη botnet, που κυμαίνονται από οδηγίες επίθεσης DDoS (όπως επιθέσεις SYN Flood, UDP Flood και HTTP GET/POST Flood) μέχρι αιτήματα για διακοπή της μετάδοσης πληροφοριών κατάστασης συστήματος, αλλαγή σε μια νέα διεύθυνση C2 ή λήψη και εκτέλεση νέου ωφέλιμου φορτίου. Το μοναδικό χαρακτηριστικό του Ddostf έγκειται στην ικανότητά του να συνδέεται με μια νέα διεύθυνση C2, παρέχοντάς του ανθεκτικότητα έναντι των προσπαθειών κατάργησης—χωρίζοντάς το από την πλειοψηφία του κακόβουλου λογισμικού botnet DDoS.

Υπό το φως αυτών των εξελίξεων, οι ειδικοί στον τομέα της κυβερνοασφάλειας συνιστούν στους διαχειριστές της MySQL να παραμείνουν σε επαγρύπνηση εφαρμόζοντας τις πιο πρόσφατες ενημερώσεις και εφαρμόζοντας ισχυρά μέτρα ασφαλείας, όπως η χρήση μακρών και μοναδικών κωδικών πρόσβασης. Αυτό βοηθά στην προστασία των λογαριασμών διαχειριστή από πιθανές επιθέσεις ωμής βίας και λεξικών.