Ddostf Botnet

Botnet malware 'Ddostf' sedang memfokus secara aktif pada pelayan MySQL, bertujuan untuk merampasnya untuk platform DDoS-as-a-Service yang menyewakan senjata apinya kepada penjenayah siber yang lain. Mengikut penemuan penyelidik keselamatan siber, pengendali Ddostf mengeksploitasi kelemahan dalam persekitaran MySQL yang belum ditampal atau menggunakan serangan kekerasan terhadap kelayakan akaun pentadbir yang lemah untuk menjejaskan pelayan yang disasarkan.

Penggodam Di Sebalik Botnet Ddostf Mengeksploitasi Fungsi Sah

Penyerang siber sedang giat mengimbas Internet untuk mencari pelayan MySQL yang terdedah dan, setelah dikenal pasti, menggunakan teknik kekerasan untuk melanggarnya. Dalam kes pelayan Windows MySQL, pelaku ancaman menggunakan ciri yang dikenali sebagai fungsi takrif pengguna (UDF) untuk melaksanakan arahan pada sistem yang terjejas.

UDF ialah ciri MySQL yang membolehkan pengguna mentakrifkan fungsi dalam C atau C++, menyusunnya ke dalam fail DLL (pustaka pautan dinamik) untuk memanjangkan keupayaan pelayan pangkalan data. Dalam senario ini, penyerang mencipta UDF mereka sendiri dan mendaftarkannya dengan pelayan pangkalan data, menamakan fail DLL 'amd.dll' dan menggabungkan fungsi berniat jahat, termasuk:

• Memuat turun muatan seperti bot Ddostf DDoS daripada pelayan jauh.
• Melaksanakan arahan peringkat sistem sewenang-wenangnya yang dihantar oleh penyerang.
• Menangkap hasil pelaksanaan perintah, menyimpannya dalam fail sementara dan menghantarnya kembali kepada penyerang.

Mengeksploitasi UDF berfungsi sebagai mekanisme untuk memuatkan muatan utama serangan—klien bot Ddostf. Walau bagaimanapun, penyalahgunaan UDF ini juga membuka pintu kepada kemungkinan pemasangan perisian hasad lain, penyusutan data, penubuhan pintu belakang untuk akses berterusan dan pelbagai aktiviti berniat jahat yang lain.

Botnet Ddostf boleh Bersambung ke Alamat Perintah-dan-Kawalan (C2) Baharu

Berasal dari China, Ddostf ialah botnet perisian hasad yang muncul sekitar tujuh tahun lalu, menyasarkan kedua-dua sistem Linux dan Windows.

Setelah menyusup ke sistem Windows, perisian hasad memastikan kegigihan dengan mendaftarkan dirinya sebagai perkhidmatan sistem semasa pelaksanaan awalnya. Selepas itu, ia menyahsulit konfigurasi Command-and-Control (C2) untuk mewujudkan sambungan. Malware kemudian mengumpulkan maklumat tentang sistem hos, termasuk kekerapan CPU, kiraan teras, butiran bahasa, versi Windows, kelajuan rangkaian dan banyak lagi. Data ini dihantar ke pelayan C2.

Pelayan C2 mempunyai keupayaan untuk mengeluarkan pelbagai arahan kepada klien botnet, mulai daripada arahan serangan DDoS (seperti SYN Flood, UDP Flood dan serangan HTTP GET/POST Flood) kepada permintaan untuk menghentikan penghantaran maklumat status sistem, menukar kepada alamat C2 baharu, atau memuat turun dan melaksanakan muatan baharu. Ciri unik Ddostf terletak pada keupayaannya untuk menyambung ke alamat C2 baharu, memberikannya daya tahan terhadap percubaan alih keluar—membezakannya daripada kebanyakan perisian hasad botnet DDoS.

Berdasarkan perkembangan ini, pakar keselamatan siber mengesyorkan agar pentadbir MySQL kekal berwaspada dengan menggunakan kemas kini terkini dan melaksanakan langkah keselamatan yang teguh, seperti menggunakan kata laluan yang panjang dan unik. Ini membantu melindungi akaun pentadbir daripada kemungkinan serangan kekerasan dan kamus.