Ddostf 봇넷

'Ddostf' 악성 코드 봇넷은 MySQL 서버에 적극적으로 초점을 맞추고 있으며 동료 사이버 범죄자에게 화력을 빌려주는 DDoS-as-a-Service 플랫폼을 위해 MySQL 서버를 탈취하는 것을 목표로 하고 있습니다. 사이버 보안 연구원의 조사 결과에 따르면 Ddostf 운영자는 패치가 적용되지 않은 MySQL 환경의 취약점을 악용하거나 약한 관리자 계정 자격 증명에 대한 무차별 대입 공격을 사용하여 대상 서버를 손상시킵니다.

Ddostf 봇넷 배후의 해커는 합법적인 기능을 악용합니다.

사이버 공격자는 노출된 MySQL 서버를 찾기 위해 인터넷을 적극적으로 검색하고 있으며, 식별되면 무차별 대입 기술을 사용하여 해당 서버를 침해합니다. Windows MySQL 서버의 경우 위협 행위자는 UDF(사용자 정의 함수)라는 기능을 활용하여 손상된 시스템에서 명령을 실행합니다.

UDF는 사용자가 C 또는 C++로 함수를 정의하고 이를 DLL(동적 링크 라이브러리) 파일로 컴파일하여 데이터베이스 서버의 기능을 확장할 수 있도록 하는 MySQL 기능입니다. 이 시나리오에서 공격자는 자신의 UDF를 만들어 데이터베이스 서버에 등록하고 DLL 파일 이름을 'amd.dll'로 지정하고 다음을 포함한 악성 기능을 통합합니다.

• 원격 서버에서 Ddostf DDoS 봇과 같은 페이로드를 다운로드합니다.
• 공격자가 보낸 임의의 시스템 수준 명령을 실행합니다.
• 명령 실행 결과를 캡처하여 임시 파일에 저장하고 공격자에게 다시 보냅니다.

UDF 악용은 공격의 기본 페이로드인 Ddostf 봇 클라이언트를 로드하기 위한 메커니즘 역할을 합니다. 그러나 이러한 UDF 남용은 잠재적으로 다른 악성 코드 설치, 데이터 유출, 영구 액세스를 위한 백도어 설정 및 기타 다양한 악의적 활동의 가능성을 열어줍니다.

Ddostf 봇넷은 새로운 명령 및 제어(C2) 주소에 연결할 수 있습니다.

중국에서 시작된 Ddostf는 약 7년 전에 등장한 악성 코드 봇넷으로 Linux와 Windows 시스템을 모두 표적으로 삼았습니다.

Windows 시스템에 침투한 악성코드는 초기 실행 중에 자신을 시스템 서비스로 등록하여 지속성을 보장합니다. 그런 다음 C2(명령 및 제어) 구성을 해독하여 연결을 설정합니다. 그런 다음 악성 코드는 CPU 주파수, 코어 수, 언어 세부 정보, Windows 버전, 네트워크 속도 등을 포함하여 호스트 시스템에 대한 정보를 수집합니다. 이 데이터는 C2 서버로 전송됩니다.

C2 서버는 DDoS 공격 지시(SYN Flood, UDP Flood, HTTP GET/POST Flood 공격 등)부터 시스템 상태 정보 전송 중단 요청, 새 C2 주소 또는 새 페이로드 다운로드 및 실행. Ddostf의 고유한 기능은 새로운 C2 주소에 연결하여 게시 중단 시도에 대한 탄력성을 제공하는 기능에 있으며 이는 대부분의 DDoS 봇넷 악성 코드와 차별화됩니다.

이러한 발전을 고려하여 사이버 보안 전문가는 MySQL 관리자가 최신 업데이트를 적용하고 길고 고유한 비밀번호 사용과 같은 강력한 보안 조치를 구현하여 경계를 유지할 것을 권장합니다. 이는 잠재적인 무차별 공격 및 사전 공격으로부터 관리자 계정을 보호하는 데 도움이 됩니다.