Ddostf Botnet
'Ddostf'-malware-botnettet fokuserer aktivt på MySQL-servere, og tar sikte på å kapre dem for en DDoS-as-a-Service-plattform som leier ut sin ildkraft til andre nettkriminelle. I henhold til funnene til cybersikkerhetsforskere, utnytter operatørene av Ddostf sårbarheter i MySQL-miljøer som ikke er lappet eller bruker brute-force-angrep på svak administratorkontolegitimasjon for å kompromittere de målrettede serverne.
Hackerne bak Ddostf Botnet utnytter legitime funksjoner
Cyberangripere skanner aktivt Internett for utsatte MySQL-servere, og ved identifisering bruker de brute-force-teknikker for å bryte dem. Når det gjelder Windows MySQL-servere, bruker trusselaktører en funksjon kjent som brukerdefinerte funksjoner (UDF) for å utføre kommandoer på det kompromitterte systemet.
UDF er en MySQL-funksjon som lar brukere definere funksjoner i C eller C++, og kompilere dem til en DLL-fil (dynamic link library) for å utvide databaseserverens muligheter. I dette scenariet lager angripere sine egne UDF-er og registrerer dem på databaseserveren, og gir DLL-filen navnet «amd.dll» og inkorporerer skadelige funksjoner, inkludert:
- Laster ned nyttelast som Ddostf DDoS-bot fra en ekstern server.
- Utfører vilkårlige kommandoer på systemnivå sendt av angriperne.
- Fange opp resultatene av kommandoutførelse, lagre dem i en midlertidig fil og sende dem tilbake til angriperne.
Å utnytte UDF-er fungerer som en mekanisme for å laste den primære nyttelasten til angrepet – Ddostf-botklienten. Dette misbruket av UDF-er åpner imidlertid også døren for potensiell installasjon av annen skadelig programvare, dataeksfiltrering, etablering av bakdører for vedvarende tilgang og diverse andre ondsinnede aktiviteter.
Ddostf-botnettet kan koble til nye kommando-og-kontroll-adresser (C2).
Med opprinnelse fra Kina, er Ddostf et malware-botnett som dukket opp for rundt syv år siden, rettet mot både Linux- og Windows-systemer.
Ved infiltrering av Windows-systemer sikrer skadelig programvare utholdenhet ved å registrere seg selv som en systemtjeneste under den første kjøringen. Deretter dekrypterer den Command-and-Control (C2)-konfigurasjonen for å etablere en tilkobling. Skadevaren samler deretter informasjon om vertssystemet, inkludert CPU-frekvens, kjernetall, språkdetaljer, Windows-versjon, nettverkshastighet og mer. Disse dataene overføres til C2-serveren.
C2-serveren har muligheten til å utstede ulike kommandoer til botnett-klienten, alt fra DDoS-angrepsinstruksjoner (som SYN Flood, UDP Flood og HTTP GET/POST Flood-angrep) til forespørsler om å avbryte overføringen av systemstatusinformasjon, endre til en ny C2-adresse, eller nedlasting og utføring av en ny nyttelast. Ddostfs unike funksjon ligger i dens evne til å koble til en ny C2-adresse, noe som gir den motstandskraft mot fjerningsforsøk – skiller den fra flertallet av DDoS botnett-skadevare.
I lys av denne utviklingen anbefaler cybersikkerhetseksperter at MySQL-administratorer holder seg på vakt ved å ta i bruk de siste oppdateringene og implementere robuste sikkerhetstiltak, som å bruke lange og unike passord. Dette bidrar til å beskytte administratorkontoer fra potensielle brute force og ordbokangrep.