Ddostf Botnet

Pahavara botnet 'Ddostf' keskendub aktiivselt MySQL-serveritele, püüdes need kaaperdada DDoS-as-a-Service platvormi jaoks, mis rendib oma tulejõudu kaasküberkurjategijatele. Küberjulgeoleku teadlaste järelduste kohaselt kasutavad Ddostfi operaatorid MySQL-i keskkondade turvaauke, mida pole parandatud, või kasutavad sihitud serverite ohustamiseks jõhkraid rünnakuid nõrkade administraatorikonto mandaatide vastu.

Ddostf-botneti taga olevad häkkerid kasutavad ära seaduslikke funktsioone

Küberründajad otsivad aktiivselt Internetti paljastatud MySQL-serverite leidmiseks ja nende tuvastamisel kasutavad nende murdmiseks jõhkra jõu tehnikaid. Windows MySQL-i serverite puhul kasutavad ohutegurid käskude täitmiseks ohustatud süsteemis funktsiooni, mida tuntakse kasutaja määratletud funktsioonidena (UDF).

UDF on MySQL-i funktsioon, mis võimaldab kasutajatel määratleda funktsioone C- või C++-vormingus, kompileerides need DLL-failiks (dünaamilise lingi raamatukogu), et laiendada andmebaasiserveri võimalusi. Selle stsenaariumi korral loovad ründajad oma UDF-id ja registreerivad need andmebaasiserveris, pannes DLL-failile nimeks 'amd.dll' ja kaasates pahatahtlikke funktsioone, sealhulgas:

• Kasulike koormuste, näiteks Ddostf DDoS-i roboti allalaadimine kaugserverist.
• Ründajate saadetud suvaliste süsteemitaseme käskude täitmine.
• Käskude täitmise tulemuste jäädvustamine, ajutise faili salvestamine ja ründajatele tagasisaatmine.

UDF-ide kasutamine toimib mehhanismina rünnaku esmase kasuliku koormuse – Ddostf bot-kliendi – laadimiseks. See UDF-ide kuritarvitamine avab aga ukse ka muu pahavara võimalikule installimisele, andmete väljafiltreerimisele, püsiva juurdepääsu tagauste loomisele ja mitmesugustele muudele pahatahtlikele tegevustele.

Ddostf-botnet saab luua ühenduse uute käsu-ja juhtimise (C2) aadressidega

Hiinast pärit Ddostf on umbes seitse aastat tagasi ilmunud pahavara botnet, mis sihib nii Linuxi kui ka Windowsi süsteeme.

Windowsi süsteemidesse tungimisel tagab pahavara püsivuse, registreerides end esmasel käivitamisel süsteemiteenusena. Seejärel dekrüpteerib ühenduse loomiseks oma Command-and-Control (C2) konfiguratsiooni. Seejärel kogub pahavara hostsüsteemi kohta teavet, sealhulgas protsessori sagedust, tuumade arvu, keele üksikasju, Windowsi versiooni, võrgu kiirust ja palju muud. Need andmed edastatakse C2 serverisse.

C2-serveril on võimalus anda robotivõrgu kliendile välja erinevaid käske, alates DDoS-i rünnakujuhistest (nagu SYN Flood, UDP Flood ja HTTP GET/POST Flood rünnakud) kuni süsteemi olekuteabe edastamise katkestamise taotlusteni. uus C2 aadress või uue kasuliku koormuse allalaadimine ja käivitamine. Ddostfi ainulaadne funktsioon seisneb selle võimes luua ühendus uue C2-aadressiga, pakkudes sellele vastupanuvõimet eemaldamiskatsete vastu – eristades seda enamikust DDoS-i robotvõrgu pahavarast.

Nende arengute valguses soovitavad küberturvalisuse eksperdid MySQL-i administraatoritel olla valvsad, rakendades uusimaid värskendusi ja rakendades tugevaid turvameetmeid, näiteks pikki ja ainulaadseid paroole. See aitab kaitsta administraatori kontosid võimalike toore jõu ja sõnaraamatu rünnakute eest.