Ddostf Botnet
មេរោគ 'Ddostf' botnet កំពុងផ្តោតលើម៉ាស៊ីនមេ MySQL យ៉ាងសកម្ម គោលបំណងដើម្បីប្លន់ពួកវាសម្រាប់វេទិកា DDoS-as-a-Service ដែលជួលកម្លាំងភ្លើងរបស់វាទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត។ តាមការរកឃើញរបស់អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត ប្រតិបត្តិករនៃ Ddostf កេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងបរិស្ថាន MySQL ដែលមិនត្រូវបានជួសជុល ឬប្រើប្រាស់ការវាយប្រហារដោយបង្ខំលើព័ត៌មានសម្ងាត់គណនីអ្នកគ្រប់គ្រងខ្សោយដើម្បីសម្របសម្រួលម៉ាស៊ីនមេដែលកំណត់គោលដៅ។
ពួក Hacker នៅពីក្រោយ Ddostf Botnet កេងប្រវ័ញ្ចមុខងារស្របច្បាប់
អ្នកវាយប្រហារតាមអ៊ីនធឺណិតកំពុងធ្វើការស្កែនអ៊ីនធឺណែតយ៉ាងសកម្មសម្រាប់ម៉ាស៊ីនមេ MySQL ដែលត្រូវបានលាតត្រដាង ហើយនៅពេលកំណត់អត្តសញ្ញាណ ប្រើប្រាស់បច្ចេកទេស brute-force ដើម្បីបំពានពួកគេ។ ក្នុងករណីម៉ាស៊ីនមេ Windows MySQL តួអង្គគំរាមកំហែងប្រើប្រាស់មុខងារដែលគេស្គាល់ថាជាមុខងារកំណត់ដោយអ្នកប្រើប្រាស់ (UDFs) ដើម្បីប្រតិបត្តិពាក្យបញ្ជានៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
UDF គឺជាមុខងារ MySQL ដែលអាចឱ្យអ្នកប្រើប្រាស់កំណត់មុខងារនៅក្នុង C ឬ C ++ ដោយចងក្រងវាទៅក្នុងឯកសារ DLL (dynamic link library) ដើម្បីពង្រីកសមត្ថភាពរបស់ម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យ។ នៅក្នុងសេណារីយ៉ូនេះ អ្នកវាយប្រហារបង្កើត UDFs ផ្ទាល់ខ្លួនរបស់ពួកគេ ហើយចុះឈ្មោះពួកវាជាមួយម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យ ដោយដាក់ឈ្មោះឯកសារ DLL ថា 'amd.dll' និងបញ្ចូលមុខងារព្យាបាទ រួមទាំង៖
- ការទាញយកបន្ទុកដូចជា Ddostf DDoS bot ពីម៉ាស៊ីនមេពីចម្ងាយ។
- ការប្រតិបត្តិពាក្យបញ្ជាកម្រិតប្រព័ន្ធបំពានដែលផ្ញើដោយអ្នកវាយប្រហារ។
- ការចាប់យកលទ្ធផលនៃការប្រតិបត្តិពាក្យបញ្ជា រក្សាទុកពួកវាក្នុងឯកសារបណ្តោះអាសន្ន ហើយបញ្ជូនពួកគេត្រឡប់ទៅអ្នកវាយប្រហារវិញ។
ការកេងប្រវ័ញ្ច UDFs បម្រើជាយន្តការមួយសម្រាប់ផ្ទុកបន្ទុកចម្បងនៃការវាយប្រហារ - ម៉ាស៊ីនភ្ញៀវ bot Ddostf ។ ទោះជាយ៉ាងណាក៏ដោយ ការរំលោភបំពាន UDFs នេះក៏បើកទ្វារដល់ការដំឡើង malware ផ្សេងទៀត ការដកទិន្នន័យ ការបង្កើត backdoors សម្រាប់ការចូលប្រើប្រាស់ជាប់លាប់ និងសកម្មភាពព្យាបាទផ្សេងៗ។
Ddostf Botnet អាចភ្ជាប់ទៅអាសយដ្ឋាន Command-and-Control (C2) ថ្មី។
មានប្រភពមកពីប្រទេសចិន Ddostf គឺជាមេរោគ botnet ដែលបានផុសឡើងប្រហែលប្រាំពីរឆ្នាំមុន ដោយផ្តោតលើប្រព័ន្ធលីនុច និងវីនដូ។
នៅពេលជ្រៀតចូលប្រព័ន្ធ Windows មេរោគនេះធានាបាននូវភាពស្ថិតស្ថេរដោយការចុះឈ្មោះខ្លួនវាថាជាសេវាកម្មប្រព័ន្ធកំឡុងពេលប្រតិបត្តិដំបូងរបស់វា។ ក្រោយមក វាឌិគ្រីបការកំណត់រចនាសម្ព័ន្ធ Command-and-Control (C2) ដើម្បីបង្កើតការតភ្ជាប់។ បន្ទាប់មកមេរោគប្រមូលព័ត៌មានអំពីប្រព័ន្ធម៉ាស៊ីន រួមទាំងប្រេកង់ស៊ីភីយូ ចំនួនស្នូល ព័ត៌មានលម្អិតភាសា កំណែវីនដូ ល្បឿនបណ្តាញ និងច្រើនទៀត។ ទិន្នន័យនេះត្រូវបានបញ្ជូនទៅម៉ាស៊ីនមេ C2 ។
ម៉ាស៊ីនមេ C2 មានសមត្ថភាពចេញពាក្យបញ្ជាផ្សេងៗដល់ម៉ាស៊ីនភ្ញៀវ botnet ចាប់ពីការណែនាំអំពីការវាយប្រហារ DDoS (ដូចជា SYN Flood, UDP Flood និង HTTP GET/POST Flood attacks) ដើម្បីស្នើសុំឱ្យបញ្ឈប់ការបញ្ជូនព័ត៌មានស្ថានភាពប្រព័ន្ធ ដោយប្តូរទៅ អាសយដ្ឋាន C2 ថ្មី ឬការទាញយក និងដំណើរការបន្ទុកថ្មី។ លក្ខណៈពិសេសតែមួយគត់របស់ Ddostf ស្ថិតនៅក្នុងសមត្ថភាពរបស់វាក្នុងការតភ្ជាប់ទៅកាន់អាសយដ្ឋាន C2 ថ្មី ដោយផ្តល់ឱ្យវានូវភាពធន់ប្រឆាំងនឹងការប៉ុនប៉ងដកចេញ - កំណត់វាឱ្យខុសពីមេរោគ DDoS botnet ភាគច្រើន។
ដោយមើលឃើញពីការអភិវឌ្ឍន៍ទាំងនេះ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានផ្តល់អនុសាសន៍ថាអ្នកគ្រប់គ្រង MySQL រក្សាការប្រុងប្រយ័ត្នដោយអនុវត្តការអាប់ដេតចុងក្រោយបំផុត និងអនុវត្តវិធានការសុវត្ថិភាពដ៏រឹងមាំ ដូចជាការប្រើពាក្យសម្ងាត់វែង និងតែមួយគត់។ វាជួយការពារគណនីអ្នកគ្រប់គ្រងពីកម្លាំងអាក្រក់ដែលអាចកើតមាន និងការវាយប្រហារតាមវចនានុក្រម។