Botnet Ddostf

La botnet malware "Ddostf" si sta concentrando attivamente sui server MySQL, con l'obiettivo di dirottarli per una piattaforma DDoS-as-a-Service che affitta la sua potenza di fuoco ad altri criminali informatici. Secondo i risultati dei ricercatori di sicurezza informatica, gli operatori di Ddostf sfruttano le vulnerabilità negli ambienti MySQL a cui non sono state applicate patch o impiegano attacchi di forza bruta su credenziali di account amministratore deboli per compromettere i server presi di mira.

Gli hacker dietro la botnet Ddostf sfruttano funzioni legittime

Gli aggressori informatici stanno scansionando attivamente Internet alla ricerca di server MySQL esposti e, una volta identificati, utilizzano tecniche di forza bruta per violarli. Nel caso dei server Windows MySQL, gli autori delle minacce utilizzano una funzionalità nota come funzioni definite dall'utente (UDF) per eseguire comandi sul sistema compromesso.

UDF è una funzionalità di MySQL che consente agli utenti di definire funzioni in C o C++, compilandole in un file DLL (libreria di collegamento dinamico) per estendere le capacità del server database. In questo scenario, gli aggressori creano le proprie UDF e le registrano sul server del database, nominando il file DLL "amd.dll" e incorporando funzioni dannose, tra cui:

• Download di payload come il bot Ddostf DDoS da un server remoto.
• Esecuzione di comandi arbitrari a livello di sistema inviati dagli aggressori.
• Catturare i risultati dell'esecuzione del comando, archiviarli in un file temporaneo e inviarli agli aggressori.

Lo sfruttamento delle UDF funge da meccanismo per caricare il payload principale dell’attacco: il client bot Ddostf. Tuttavia, questo abuso delle UDF apre anche la porta alla potenziale installazione di altri malware, all’esfiltrazione di dati, alla creazione di backdoor per l’accesso persistente e a varie altre attività dannose.

La botnet Ddostf può connettersi a nuovi indirizzi di comando e controllo (C2).

Originaria della Cina, Ddostf è una botnet malware emersa circa sette anni fa, che prende di mira sia i sistemi Linux che Windows.

Dopo essersi infiltrato nei sistemi Windows, il malware garantisce la persistenza registrandosi come servizio di sistema durante la sua esecuzione iniziale. Successivamente, decrittografa la sua configurazione di comando e controllo (C2) per stabilire una connessione. Il malware raccoglie quindi informazioni sul sistema host, tra cui frequenza della CPU, conteggio dei core, dettagli sulla lingua, versione di Windows, velocità della rete e altro ancora. Questi dati vengono trasmessi al server C2.

Il server C2 ha la capacità di inviare vari comandi al client botnet, che vanno dalle istruzioni di attacco DDoS (come attacchi SYN Flood, UDP Flood e HTTP GET/POST Flood) alle richieste di interrompere la trasmissione delle informazioni sullo stato del sistema, passando a un nuovo indirizzo C2 o scaricare ed eseguire un nuovo payload. La caratteristica unica di Ddostf risiede nella sua capacità di connettersi a un nuovo indirizzo C2, fornendogli resistenza contro i tentativi di rimozione, distinguendolo dalla maggior parte del malware botnet DDoS.

Alla luce di questi sviluppi, gli esperti di sicurezza informatica raccomandano agli amministratori MySQL di rimanere vigili applicando gli ultimi aggiornamenti e implementando solide misure di sicurezza, come l’utilizzo di password lunghe e uniche. Ciò aiuta a salvaguardare gli account amministratore da potenziali attacchi di forza bruta e dizionario.