Ddostf botnetas

Kenkėjiškų programų botnetas „Ddostf“ aktyviai koncentruojasi į MySQL serverius, siekdamas juos užgrobti, kad būtų sukurta DDoS-as-a-Service platforma, kuri nuomoja savo jėgą kitiems kibernetiniams nusikaltėliams. Remiantis kibernetinio saugumo tyrėjų išvadomis, Ddostf operatoriai išnaudoja MySQL aplinkos pažeidžiamumą, kuris nebuvo pataisytas, arba taiko žiaurios jėgos atakas prieš silpnus administratoriaus paskyros kredencialus, siekdami pažeisti tikslinius serverius.

„Ddostf Botnet“ įsilaužėliai išnaudoja teisėtas funkcijas

Kibernetiniai užpuolikai aktyviai nuskaito internetą, ar nėra atskleistų MySQL serverių, ir, atpažinę, naudoja brutalios jėgos metodus, kad juos pažeistų. Windows MySQL serverių atveju grėsmės veikėjai naudoja funkciją, vadinamą vartotojo apibrėžtomis funkcijomis (UDF), kad vykdytų komandas pažeistoje sistemoje.

UDF yra MySQL funkcija, leidžianti vartotojams apibrėžti funkcijas C arba C++, sukompiliuojant jas į DLL (dinaminės nuorodos bibliotekos) failą, kad būtų išplėstos duomenų bazės serverio galimybės. Pagal šį scenarijų užpuolikai sukuria savo UDF ir registruoja juos duomenų bazės serveryje, pavadindami DLL failą „amd.dll“ ir įtraukdami kenkėjiškų funkcijų, įskaitant:

• Naudingųjų krovinių, pvz., Ddostf DDoS roboto, atsisiuntimas iš nuotolinio serverio.
• Savavališkų sistemos lygio komandų, kurias siunčia užpuolikai, vykdymas.
• Komandų vykdymo rezultatų fiksavimas, laikinas failas ir siuntimas atgal užpuolikams.

UDF išnaudojimas yra mechanizmas, skirtas įkelti pagrindinę atakos apkrovą – Ddostf bot klientą. Tačiau šis piktnaudžiavimas UDF taip pat atveria duris galimam kitų kenkėjiškų programų diegimui, duomenų išfiltravimui, užpakalinių durų kūrimui nuolatinei prieigai ir įvairiai kitai kenksmingai veiklai.

Ddostf Botnet gali prisijungti prie naujų komandų ir valdymo (C2) adresų

Iš Kinijos kilęs „Ddostf“ yra kenkėjiškų programų botnetas, atsiradęs maždaug prieš septynerius metus, skirtas „Linux“ ir „Windows“ sistemoms.

Įsiskverbusi į Windows sistemas, kenkėjiška programa užtikrina išlikimą, užsiregistruodama kaip sistemos paslauga pirminio vykdymo metu. Vėliau jis iššifruoja savo komandų ir valdymo (C2) konfigūraciją, kad užmegztų ryšį. Tada kenkėjiška programa renka informaciją apie pagrindinę sistemą, įskaitant procesoriaus dažnį, branduolių skaičių, kalbos informaciją, „Windows“ versiją, tinklo greitį ir kt. Šie duomenys perduodami į C2 serverį.

C2 serveris gali duoti įvairias komandas botneto klientui, pradedant nuo DDoS atakų instrukcijų (tokių kaip SYN Flood, UDP Flood ir HTTP GET/POST Flood atakos) iki užklausų nutraukti sistemos būsenos informacijos perdavimą, keičiant į naują C2 adresą arba naujo naudingo krovinio atsisiuntimą ir vykdymą. Unikali „Ddostf“ savybė yra galimybė prisijungti prie naujo C2 adreso, suteikiant jam atsparumą bandymams panaikinti, išskiriant jį nuo daugumos DDoS botnet kenkėjiškų programų.

Atsižvelgdami į šiuos pokyčius, kibernetinio saugumo ekspertai rekomenduoja „MySQL“ administratoriams išlikti budriems, taikant naujausius atnaujinimus ir įgyvendinant patikimas saugos priemones, pavyzdžiui, naudojant ilgus ir unikalius slaptažodžius. Tai padeda apsaugoti administratoriaus paskyras nuo galimų brutalios jėgos ir žodyno atakų.