Ddostf robottīkls

Ļaunprātīgas programmatūras robottīkls “Ddostf” aktīvi koncentrējas uz MySQL serveriem, cenšoties tos nolaupīt DDoS-as-a-Service platformai, kas iznomā savu spēku citiem kibernoziedzniekiem. Kā liecina kiberdrošības pētnieku atklājumi, Ddostf operatori izmanto ievainojamības MySQL vidēs, kas nav izlabotas, vai izmanto brutālus uzbrukumus vājiem administratora konta akreditācijas datiem, lai apdraudētu mērķa serverus.

Hakeri aiz Ddostf robottīkla izmanto likumīgās funkcijas

Kiberuzbrucēji aktīvi skenē internetu, lai atrastu atklātus MySQL serverus, un pēc identifikācijas izmanto brutāla spēka paņēmienus, lai tos pārkāptu. Windows MySQL serveru gadījumā apdraudējuma dalībnieki izmanto funkciju, kas pazīstama kā lietotāja definētas funkcijas (UDF), lai izpildītu komandas apdraudētajā sistēmā.

UDF ir MySQL līdzeklis, kas lietotājiem ļauj definēt funkcijas C vai C++ valodā, apkopojot tās DLL (dinamisko saišu bibliotēkas) failā, lai paplašinātu datu bāzes servera iespējas. Šādā gadījumā uzbrucēji izveido savus UDF un reģistrē tos datu bāzes serverī, nosaucot DLL failu “amd.dll” un iekļaujot tajā ļaunprātīgas funkcijas, tostarp:

• Lietderīgo kravu, piemēram, Ddostf DDoS robota, lejupielāde no attālā servera.
• Uzbrucēju nosūtīto patvaļīgu sistēmas līmeņa komandu izpilde.
• Komandu izpildes rezultātu tveršana, glabāšana pagaidu failā un nosūtīšana atpakaļ uzbrucējiem.

UDF izmantošana kalpo kā mehānisms, lai ielādētu uzbrukuma primāro slodzi — Ddostf robotprogrammatūras klientu. Tomēr šī UDF ļaunprātīga izmantošana paver durvis arī iespējamai citas ļaunprātīgas programmatūras instalēšanai, datu izfiltrēšanai, aizmugures durvju izveidei pastāvīgai piekļuvei un dažādām citām ļaunprātīgām darbībām.

Ddostf robottīkls var izveidot savienojumu ar jaunām komandu un vadības (C2) adresēm

Ddostf, kura izcelsme ir Ķīnā, ir ļaunprātīgas programmatūras robottīkls, kas parādījās apmēram pirms septiņiem gadiem un ir paredzēts gan Linux, gan Windows sistēmām.

Iefiltrējoties Windows sistēmās, ļaunprogrammatūra nodrošina noturību, tās sākotnējās izpildes laikā reģistrējoties kā sistēmas pakalpojumu. Pēc tam tas atšifrē savu Command-and-Control (C2) konfigurāciju, lai izveidotu savienojumu. Pēc tam ļaunprātīgā programmatūra apkopo informāciju par resursdatora sistēmu, tostarp CPU frekvenci, kodolu skaitu, valodas informāciju, Windows versiju, tīkla ātrumu un daudz ko citu. Šie dati tiek pārsūtīti uz C2 serveri.

C2 serverim ir iespēja izdot dažādas komandas robottīkla klientam, sākot no DDoS uzbrukuma instrukcijām (piemēram, SYN Flood, UDP Flood un HTTP GET/POST Flood uzbrukumiem) līdz pieprasījumiem pārtraukt sistēmas statusa informācijas pārraidi, mainot uz jaunu C2 adresi vai jaunas kravnesības lejupielādi un izpildi. Ddostf unikālā funkcija ir tā spēja izveidot savienojumu ar jaunu C2 adresi, nodrošinot tai noturību pret noņemšanas mēģinājumiem, atšķirot to no lielākās daļas DDoS robottīkla ļaunprātīgās programmatūras.

Ņemot vērā šos notikumus, kiberdrošības eksperti iesaka MySQL administratoriem būt modriem, piemērojot jaunākos atjauninājumus un ieviešot stingrus drošības pasākumus, piemēram, izmantojot garas un unikālas paroles. Tas palīdz aizsargāt administratora kontus no iespējamiem brutāla spēka un vārdnīcu uzbrukumiem.