Ddostf Botnet

Ddostf-haittaohjelmien bottiverkko keskittyy aktiivisesti MySQL-palvelimiin ja pyrkii kaappaamaan ne DDoS-as-a-Service-alustaa varten, joka vuokraa tulivoimansa muille kyberrikollisille. Kyberturvallisuustutkijoiden havaintojen mukaan Ddostf-operaattorit käyttävät hyväkseen MySQL-ympäristöjen haavoittuvuuksia, joita ei ole korjattu, tai käyttävät raakoja hyökkäyksiä heikkoja järjestelmänvalvojan tilitietoja vastaan vaarantaakseen kohdepalvelimet.

Ddostf-botnetin takana olevat hakkerit käyttävät hyväkseen laillisia toimintoja

Kyberhyökkääjät etsivät aktiivisesti Internetistä paljastuneita MySQL-palvelimia ja tunnistaessaan ne käyttävät raa'an voiman tekniikoita murtaakseen ne. Windows MySQL -palvelimissa uhkatekijät käyttävät ominaisuutta, joka tunnetaan nimellä user-defined functions (UDF) komentojen suorittamiseen vaarantuneessa järjestelmässä.

UDF on MySQL-ominaisuus, jonka avulla käyttäjät voivat määrittää toimintoja C- tai C++-kielellä ja kääntää ne DLL-tiedostoksi (dynaaminen linkkikirjasto) tietokantapalvelimen ominaisuuksien laajentamiseksi. Tässä skenaariossa hyökkääjät luovat omat UDF-tiedostonsa ja rekisteröivät ne tietokantapalvelimeen, nimeävät DLL-tiedoston 'amd.dll' ja sisältävät haitallisia toimintoja, kuten:

• Hyötykuormien, kuten Ddostf DDoS -botin, lataaminen etäpalvelimelta.
• Hyökkääjien lähettämien mielivaltaisten järjestelmätason komentojen suorittaminen.
• Kaappaa komentojen suorittamisen tulokset, tallentaa ne väliaikaiseen tiedostoon ja lähettää ne takaisin hyökkääjille.

UDF:ien hyödyntäminen toimii mekanismina hyökkäyksen ensisijaisen hyötykuorman – Ddostf-bottiasiakkaan – lataamiseen. Tämä UDF-tiedostojen väärinkäyttö avaa kuitenkin myös mahdollisuuden muiden haittaohjelmien asentamiseen, tietojen suodattamiseen, takaovien perustamiseen jatkuvaa käyttöä varten ja useille muille haitallisille toimille.

Ddostf-botnet voi muodostaa yhteyden uusiin Command-and-Control (C2) -osoitteisiin

Kiinasta kotoisin oleva Ddostf on noin seitsemän vuotta sitten syntynyt haittaohjelmabotnet, joka kohdistuu sekä Linux- että Windows-järjestelmiin.

Windows-järjestelmiin tunkeutuessaan haittaohjelma varmistaa pysyvyyden rekisteröimällä itsensä järjestelmäpalveluksi ensimmäisen suorituksensa aikana. Tämän jälkeen se purkaa Command-and-Control (C2) -määrityksensä yhteyden muodostamiseksi. Haittaohjelma kerää sitten tietoja isäntäjärjestelmästä, mukaan lukien suorittimen taajuus, ydinten lukumäärä, kielitiedot, Windows-versio, verkon nopeus ja paljon muuta. Nämä tiedot välitetään C2-palvelimelle.

C2-palvelin pystyy antamaan erilaisia komentoja botnet-asiakkaalle aina DDoS-hyökkäyskäskyistä (kuten SYN Flood, UDP Flood ja HTTP GET/POST Flood -hyökkäykset) pyyntöihin järjestelmän tilatietojen siirron keskeyttämiseksi. uusi C2-osoite tai uuden hyötykuorman lataaminen ja suorittaminen. Ddostf:n ainutlaatuinen ominaisuus on sen kyky muodostaa yhteys uuteen C2-osoitteeseen, mikä antaa sille kestävyyden poistoyrityksiä vastaan. Tämä erottaa sen suurimmasta osasta DDoS-botnet-haittaohjelmia.

Tämän kehityksen valossa kyberturvallisuusasiantuntijat suosittelevat, että MySQL-järjestelmänvalvojat pysyisivät valppaina ottamalla käyttöön viimeisimmät päivitykset ja toteuttamalla vankat suojaustoimenpiteet, kuten käyttämällä pitkiä ja ainutlaatuisia salasanoja. Tämä auttaa suojaamaan järjestelmänvalvojan tilejä mahdollisilta raakavoima- ja sanakirjahyökkäyksiltä.