بات نت Ddostf

بات نت بدافزار 'Ddostf' به طور فعال بر سرورهای MySQL تمرکز می کند و هدف آن ربودن آنها برای یک پلتفرم DDoS-as-a-Service است که قدرت شلیک خود را به مجرمان سایبری دیگر اجاره می دهد. طبق یافته‌های محققان امنیت سایبری، اپراتورهای Ddostf از آسیب‌پذیری‌های موجود در محیط‌های MySQL که وصله نشده‌اند، سوء استفاده می‌کنند یا از حملات brute-force بر روی اعتبارنامه‌های ضعیف حساب مدیر برای به خطر انداختن سرورهای هدف استفاده می‌کنند.

هکرهای پشت بات نت Ddostf از عملکردهای قانونی سوء استفاده می کنند

مهاجمان سایبری به طور فعال اینترنت را برای یافتن سرورهای MySQL افشا شده اسکن می کنند و پس از شناسایی، از تکنیک های brute-force برای نقض آنها استفاده می کنند. در مورد سرورهای ویندوز MySQL، عوامل تهدید از یک ویژگی به نام توابع تعریف شده توسط کاربر (UDFs) برای اجرای دستورات در سیستم در معرض خطر استفاده می کنند.

UDF یک ویژگی MySQL است که کاربران را قادر می‌سازد تا توابع را در C یا C++ تعریف کنند و آنها را در یک فایل DLL (کتابخانه پیوند پویا) کامپایل کنند تا قابلیت‌های سرور پایگاه داده را گسترش دهند. در این سناریو، مهاجمان UDF های خود را می سازند و آنها را در سرور پایگاه داده ثبت می کنند و نام فایل DLL را "amd.dll" می گذارند و توابع مخرب را شامل می شوند، از جمله:

• دانلود محموله هایی مانند ربات Ddostf DDoS از یک سرور راه دور.
• اجرای دستورات دلخواه در سطح سیستم ارسال شده توسط مهاجمان.
• گرفتن نتایج اجرای دستور، ذخیره آنها در یک فایل موقت و ارسال مجدد آنها به مهاجمان.

بهره برداری از UDF ها به عنوان مکانیزمی برای بارگیری بار اصلی حمله - کلاینت ربات Ddostf - عمل می کند. با این حال، این سوء استفاده از UDF ها همچنین راه را برای نصب بالقوه بدافزارهای دیگر، استخراج داده ها، ایجاد درهای پشتی برای دسترسی مداوم و فعالیت های مخرب مختلف باز می کند.

بات نت Ddostf می تواند به آدرس های جدید Command-and-Control (C2) متصل شود

Ddostf که منشا آن چین است، یک بات نت بدافزاری است که حدود هفت سال پیش ظهور کرد و سیستم های لینوکس و ویندوز را هدف قرار می دهد.

با نفوذ به سیستم های ویندوز، بدافزار با ثبت خود به عنوان یک سرویس سیستم در طول اجرای اولیه، ماندگاری خود را تضمین می کند. متعاقباً، پیکربندی Command-and-Control (C2) خود را برای ایجاد یک اتصال رمزگشایی می کند. سپس این بدافزار اطلاعاتی درباره سیستم میزبان جمع آوری می کند، از جمله فرکانس پردازنده، تعداد هسته، جزئیات زبان، نسخه ویندوز، سرعت شبکه و غیره. این داده ها به سرور C2 منتقل می شود.

سرور C2 این قابلیت را دارد که دستورات مختلفی را به کلاینت بات نت صادر کند، از دستورالعمل‌های حمله DDoS (مانند حملات SYN Flood، UDP Flood و HTTP GET/POST Flood) تا درخواست‌های توقف انتقال اطلاعات وضعیت سیستم، تغییر به یک آدرس C2 جدید، یا دانلود و اجرای یک بار جدید. ویژگی منحصر به فرد Ddostf در توانایی آن برای اتصال به یک آدرس جدید C2 نهفته است که مقاومت آن را در برابر تلاش‌های حذف فراهم می‌کند و آن را از اکثر بدافزارهای بات‌نت DDoS متمایز می‌کند.

با توجه به این پیشرفت‌ها، کارشناسان امنیت سایبری توصیه می‌کنند که مدیران MySQL با اعمال آخرین به‌روزرسانی‌ها و اجرای اقدامات امنیتی قوی، مانند استفاده از رمزهای عبور طولانی و منحصر به فرد، هوشیار باشند. این به محافظت از حساب‌های ادمین در برابر حملات بالقوه خشونت‌بار و فرهنگ لغت کمک می‌کند.