بات نت Ddostf
بات نت بدافزار 'Ddostf' به طور فعال بر سرورهای MySQL تمرکز می کند و هدف آن ربودن آنها برای یک پلتفرم DDoS-as-a-Service است که قدرت شلیک خود را به مجرمان سایبری دیگر اجاره می دهد. طبق یافتههای محققان امنیت سایبری، اپراتورهای Ddostf از آسیبپذیریهای موجود در محیطهای MySQL که وصله نشدهاند، سوء استفاده میکنند یا از حملات brute-force بر روی اعتبارنامههای ضعیف حساب مدیر برای به خطر انداختن سرورهای هدف استفاده میکنند.
هکرهای پشت بات نت Ddostf از عملکردهای قانونی سوء استفاده می کنند
مهاجمان سایبری به طور فعال اینترنت را برای یافتن سرورهای MySQL افشا شده اسکن می کنند و پس از شناسایی، از تکنیک های brute-force برای نقض آنها استفاده می کنند. در مورد سرورهای ویندوز MySQL، عوامل تهدید از یک ویژگی به نام توابع تعریف شده توسط کاربر (UDFs) برای اجرای دستورات در سیستم در معرض خطر استفاده می کنند.
UDF یک ویژگی MySQL است که کاربران را قادر میسازد تا توابع را در C یا C++ تعریف کنند و آنها را در یک فایل DLL (کتابخانه پیوند پویا) کامپایل کنند تا قابلیتهای سرور پایگاه داده را گسترش دهند. در این سناریو، مهاجمان UDF های خود را می سازند و آنها را در سرور پایگاه داده ثبت می کنند و نام فایل DLL را "amd.dll" می گذارند و توابع مخرب را شامل می شوند، از جمله:
- دانلود محموله هایی مانند ربات Ddostf DDoS از یک سرور راه دور.
- اجرای دستورات دلخواه در سطح سیستم ارسال شده توسط مهاجمان.
- گرفتن نتایج اجرای دستور، ذخیره آنها در یک فایل موقت و ارسال مجدد آنها به مهاجمان.
بهره برداری از UDF ها به عنوان مکانیزمی برای بارگیری بار اصلی حمله - کلاینت ربات Ddostf - عمل می کند. با این حال، این سوء استفاده از UDF ها همچنین راه را برای نصب بالقوه بدافزارهای دیگر، استخراج داده ها، ایجاد درهای پشتی برای دسترسی مداوم و فعالیت های مخرب مختلف باز می کند.
بات نت Ddostf می تواند به آدرس های جدید Command-and-Control (C2) متصل شود
Ddostf که منشا آن چین است، یک بات نت بدافزاری است که حدود هفت سال پیش ظهور کرد و سیستم های لینوکس و ویندوز را هدف قرار می دهد.
با نفوذ به سیستم های ویندوز، بدافزار با ثبت خود به عنوان یک سرویس سیستم در طول اجرای اولیه، ماندگاری خود را تضمین می کند. متعاقباً، پیکربندی Command-and-Control (C2) خود را برای ایجاد یک اتصال رمزگشایی می کند. سپس این بدافزار اطلاعاتی درباره سیستم میزبان جمع آوری می کند، از جمله فرکانس پردازنده، تعداد هسته، جزئیات زبان، نسخه ویندوز، سرعت شبکه و غیره. این داده ها به سرور C2 منتقل می شود.
سرور C2 این قابلیت را دارد که دستورات مختلفی را به کلاینت بات نت صادر کند، از دستورالعملهای حمله DDoS (مانند حملات SYN Flood، UDP Flood و HTTP GET/POST Flood) تا درخواستهای توقف انتقال اطلاعات وضعیت سیستم، تغییر به یک آدرس C2 جدید، یا دانلود و اجرای یک بار جدید. ویژگی منحصر به فرد Ddostf در توانایی آن برای اتصال به یک آدرس جدید C2 نهفته است که مقاومت آن را در برابر تلاشهای حذف فراهم میکند و آن را از اکثر بدافزارهای باتنت DDoS متمایز میکند.
با توجه به این پیشرفتها، کارشناسان امنیت سایبری توصیه میکنند که مدیران MySQL با اعمال آخرین بهروزرسانیها و اجرای اقدامات امنیتی قوی، مانند استفاده از رمزهای عبور طولانی و منحصر به فرد، هوشیار باشند. این به محافظت از حسابهای ادمین در برابر حملات بالقوه خشونتبار و فرهنگ لغت کمک میکند.