Ddostf बॉटनेट
'Ddostf' मैलवेयर बॉटनेट सक्रिय रूप से MySQL सर्वर पर ध्यान केंद्रित कर रहा है, जिसका लक्ष्य उन्हें DDoS-ए-ए-सर्विस प्लेटफॉर्म के लिए हाईजैक करना है जो साथी साइबर अपराधियों को अपनी मारक क्षमता किराए पर देता है। साइबर सुरक्षा शोधकर्ताओं के निष्कर्षों के अनुसार, Ddostf के संचालक MySQL वातावरण में कमजोरियों का फायदा उठाते हैं जिन्हें पैच नहीं किया गया है या लक्षित सर्वर से समझौता करने के लिए कमजोर व्यवस्थापक खाता क्रेडेंशियल्स पर क्रूर-बल के हमले करते हैं।
Ddostf बॉटनेट के पीछे के हैकर्स वैध कार्यों का शोषण करते हैं
साइबर हमलावर सक्रिय रूप से उजागर MySQL सर्वरों के लिए इंटरनेट को स्कैन कर रहे हैं और पहचान होने पर, उनमें सेंध लगाने के लिए क्रूर-बल तकनीकों का उपयोग करते हैं। विंडोज़ MySQL सर्वर के मामले में, खतरे वाले कलाकार समझौता किए गए सिस्टम पर कमांड निष्पादित करने के लिए उपयोगकर्ता-परिभाषित फ़ंक्शंस (यूडीएफ) नामक सुविधा का उपयोग करते हैं।
यूडीएफ एक MySQL सुविधा है जो उपयोगकर्ताओं को डेटाबेस सर्वर की क्षमताओं को बढ़ाने के लिए C या C++ में फ़ंक्शन को परिभाषित करने, उन्हें DLL (डायनामिक लिंक लाइब्रेरी) फ़ाइल में संकलित करने में सक्षम बनाती है। इस परिदृश्य में, हमलावर अपने स्वयं के यूडीएफ बनाते हैं और उन्हें डेटाबेस सर्वर के साथ पंजीकृत करते हैं, डीएलएल फ़ाइल को 'amd.dll' नाम देते हैं और दुर्भावनापूर्ण कार्यों को शामिल करते हैं, जिनमें शामिल हैं:
- दूरस्थ सर्वर से Ddostf DDoS बॉट जैसे पेलोड डाउनलोड करना।
- हमलावरों द्वारा भेजे गए मनमाने सिस्टम-स्तरीय आदेशों को निष्पादित करना।
- कमांड निष्पादन के परिणामों को कैप्चर करना, उन्हें एक अस्थायी फ़ाइल में संग्रहीत करना, और उन्हें हमलावरों को वापस भेजना।
यूडीएफ का शोषण हमले के प्राथमिक पेलोड-डीडॉस्टफ बॉट क्लाइंट को लोड करने के लिए एक तंत्र के रूप में कार्य करता है। हालाँकि, यूडीएफ का यह दुरुपयोग अन्य मैलवेयर की संभावित स्थापना, डेटा घुसपैठ, लगातार पहुंच के लिए पिछले दरवाजे की स्थापना और विभिन्न अन्य दुर्भावनापूर्ण गतिविधियों का द्वार भी खोलता है।
Ddostf बॉटनेट नए कमांड-एंड-कंट्रोल (C2) पते से कनेक्ट हो सकता है
चीन से उत्पन्न, Ddostf एक मैलवेयर बॉटनेट है जो लगभग सात साल पहले उभरा था, जो लिनक्स और विंडोज सिस्टम दोनों को लक्षित करता था।
विंडोज़ सिस्टम में घुसपैठ करने पर, मैलवेयर अपने प्रारंभिक निष्पादन के दौरान खुद को सिस्टम सेवा के रूप में पंजीकृत करके स्थायित्व सुनिश्चित करता है। इसके बाद, यह कनेक्शन स्थापित करने के लिए अपने कमांड-एंड-कंट्रोल (C2) कॉन्फ़िगरेशन को डिक्रिप्ट करता है। इसके बाद मैलवेयर होस्ट सिस्टम के बारे में जानकारी इकट्ठा करता है, जिसमें सीपीयू फ्रीक्वेंसी, कोर काउंट, भाषा विवरण, विंडोज संस्करण, नेटवर्क स्पीड और बहुत कुछ शामिल है। यह डेटा C2 सर्वर पर प्रसारित होता है।
C2 सर्वर में बॉटनेट क्लाइंट को विभिन्न कमांड जारी करने की क्षमता है, जिसमें DDoS अटैक निर्देश (जैसे SYN फ्लड, UDP फ्लड और HTTP GET/POST फ्लड अटैक) से लेकर सिस्टम स्थिति जानकारी के प्रसारण को बंद करने के अनुरोध तक शामिल हैं। एक नया C2 पता, या एक नया पेलोड डाउनलोड करना और निष्पादित करना। Ddostf की अनूठी विशेषता एक नए C2 पते से जुड़ने की क्षमता में निहित है, जो इसे टेकडाउन प्रयासों के खिलाफ लचीलापन प्रदान करती है - जो इसे DDoS बॉटनेट मैलवेयर के बहुमत से अलग करती है।
इन विकासों के आलोक में, साइबर सुरक्षा विशेषज्ञ सलाह देते हैं कि MySQL प्रशासक नवीनतम अपडेट लागू करके और लंबे और अद्वितीय पासवर्ड का उपयोग करके मजबूत सुरक्षा उपायों को लागू करके सतर्क रहें। यह व्यवस्थापक खातों को संभावित क्रूर बल और शब्दकोश हमलों से सुरक्षित रखने में मदद करता है।
