Ddostf botnet

A „Ddostf” rosszindulatú botnet aktívan a MySQL-kiszolgálókra összpontosít, és célja, hogy eltérítse őket egy DDoS-as-a-Service platformhoz, amely kiberbűnözőknek adja ki tűzerejét. A kiberbiztonsági kutatók megállapításai szerint a Ddostf üzemeltetői kihasználják a nem javított MySQL-környezetek sebezhetőségeit, vagy brute-force támadásokat alkalmaznak gyenge rendszergazdai fiókok hitelesítő adatai ellen, hogy feltörjék a megcélzott szervereket.

A Ddostf botnet mögötti hackerek törvényes funkciókat aknáznak ki

A kibertámadók aktívan keresik az internetet kiszolgáltatott MySQL-kiszolgálók után, és azonosításukkor brute force technikákat alkalmaznak azok feltörésére. A Windows MySQL-kiszolgálók esetében a fenyegetés szereplői a felhasználó által definiált függvények (UDF) nevű szolgáltatást használják a parancsok végrehajtására a feltört rendszeren.

Az UDF egy MySQL-szolgáltatás, amely lehetővé teszi a felhasználók számára, hogy függvényeket definiáljanak C vagy C++ nyelven, és DLL-fájlba (dinamikus hivatkozási könyvtár) fordítsák le az adatbázis-kiszolgáló képességeit. Ebben a forgatókönyvben a támadók létrehozzák saját UDF-eiket, és regisztrálják azokat az adatbázis-kiszolgálón, a DLL-fájlt „amd.dll”-nek nevezik el, és rosszindulatú funkciókat építenek be, többek között:

• Hasznos anyagok, például a Ddostf DDoS bot letöltése távoli szerverről.
• A támadók által küldött tetszőleges rendszerszintű parancsok végrehajtása.
• A parancsvégrehajtás eredményeinek rögzítése, ideiglenes fájlban való tárolása és visszaküldése a támadóknak.

Az UDF-ek kihasználása a támadás elsődleges hasznos terhének – a Ddostf botkliens – betöltésének mechanizmusaként szolgál. Az UDF-ekkel való ilyen visszaélés azonban más rosszindulatú programok telepítésének, az adatok kiszűrésének, a tartós hozzáféréshez hátsó ajtók létrehozásának és számos más rosszindulatú tevékenységnek is megnyitja az ajtót.

A Ddostf botnet új Command-and-Control (C2) címekhez tud csatlakozni

A Kínából származó Ddostf egy kártevő botnet, amely körülbelül hét éve jelent meg, és Linux és Windows rendszereket is megcéloz.

A Windows rendszerekbe való behatoláskor a rosszindulatú program biztosítja a fennmaradást azáltal, hogy a kezdeti végrehajtás során rendszerszolgáltatásként regisztrálja magát. Ezt követően visszafejti a Command-and-Control (C2) konfigurációját a kapcsolat létrehozásához. A rosszindulatú program ezután információkat gyűjt a gazdagépről, beleértve a CPU-frekvenciát, a magok számát, a nyelvi részleteket, a Windows verzióját, a hálózati sebességet stb. Ezeket az adatokat a C2 szerverre továbbítják.

A C2 szerver képes különféle parancsokat kiadni a botnet kliensnek, kezdve a DDoS támadási utasításoktól (például SYN Flood, UDP Flood és HTTP GET/POST Flood támadások) a rendszerállapot-információk továbbításának leállítására irányuló kérésekig. egy új C2-címet, vagy egy új rakomány letöltését és végrehajtását. A Ddostf egyedülálló funkciója abban rejlik, hogy képes új C2-címhez kapcsolódni, ellenállóvá téve azt az eltávolítási kísérletekkel szemben – ezzel megkülönböztetve a DDoS botnet rosszindulatú programjainak többségétől.

E fejlemények fényében a kiberbiztonsági szakértők azt javasolják, hogy a MySQL-adminisztrátorok maradjanak éberek a legújabb frissítések alkalmazásával és olyan robusztus biztonsági intézkedések bevezetésével, mint például a hosszú és egyedi jelszavak használata. Ez segít megvédeni az adminisztrátori fiókokat a lehetséges brutális erőszaktól és a szótári támadásoktól.