Multi-lisens rabatter
Threat Database Botnets Ddostf Botnet

Ddostf Botnet

Med Mezo i Botnets
Oversett til:
Norsk

'Ddostf'-malware-botnettet fokuserer aktivt på MySQL-servere, og tar sikte på å kapre dem for en DDoS-as-a-Service-plattform som leier ut sin ildkraft til andre nettkriminelle. I henhold til funnene til cybersikkerhetsforskere, utnytter operatørene av Ddostf sårbarheter i MySQL-miljøer som ikke er lappet eller bruker brute-force-angrep på svak administratorkontolegitimasjon for å kompromittere de målrettede serverne.

Hackerne bak Ddostf Botnet utnytter legitime funksjoner

Cyberangripere skanner aktivt Internett for utsatte MySQL-servere, og ved identifisering bruker de brute-force-teknikker for å bryte dem. Når det gjelder Windows MySQL-servere, bruker trusselaktører en funksjon kjent som brukerdefinerte funksjoner (UDF) for å utføre kommandoer på det kompromitterte systemet.

UDF er en MySQL-funksjon som lar brukere definere funksjoner i C eller C++, og kompilere dem til en DLL-fil (dynamic link library) for å utvide databaseserverens muligheter. I dette scenariet lager angripere sine egne UDF-er og registrerer dem på databaseserveren, og gir DLL-filen navnet «amd.dll» og inkorporerer skadelige funksjoner, inkludert:

  • Laster ned nyttelast som Ddostf DDoS-bot fra en ekstern server.
  • Utfører vilkårlige kommandoer på systemnivå sendt av angriperne.
  • Fange opp resultatene av kommandoutførelse, lagre dem i en midlertidig fil og sende dem tilbake til angriperne.

Å utnytte UDF-er fungerer som en mekanisme for å laste den primære nyttelasten til angrepet – Ddostf-botklienten. Dette misbruket av UDF-er åpner imidlertid også døren for potensiell installasjon av annen skadelig programvare, dataeksfiltrering, etablering av bakdører for vedvarende tilgang og diverse andre ondsinnede aktiviteter.

Ddostf-botnettet kan koble til nye kommando-og-kontroll-adresser (C2).

Med opprinnelse fra Kina, er Ddostf et malware-botnett som dukket opp for rundt syv år siden, rettet mot både Linux- og Windows-systemer.

Ved infiltrering av Windows-systemer sikrer skadelig programvare utholdenhet ved å registrere seg selv som en systemtjeneste under den første kjøringen. Deretter dekrypterer den Command-and-Control (C2)-konfigurasjonen for å etablere en tilkobling. Skadevaren samler deretter informasjon om vertssystemet, inkludert CPU-frekvens, kjernetall, språkdetaljer, Windows-versjon, nettverkshastighet og mer. Disse dataene overføres til C2-serveren.

C2-serveren har muligheten til å utstede ulike kommandoer til botnett-klienten, alt fra DDoS-angrepsinstruksjoner (som SYN Flood, UDP Flood og HTTP GET/POST Flood-angrep) til forespørsler om å avbryte overføringen av systemstatusinformasjon, endre til en ny C2-adresse, eller nedlasting og utføring av en ny nyttelast. Ddostfs unike funksjon ligger i dens evne til å koble til en ny C2-adresse, noe som gir den motstandskraft mot fjerningsforsøk – skiller den fra flertallet av DDoS botnett-skadevare.

I lys av denne utviklingen anbefaler cybersikkerhetseksperter at MySQL-administratorer holder seg på vakt ved å ta i bruk de siste oppdateringene og implementere robuste sikkerhetstiltak, som å bruke lange og unike passord. Dette bidrar til å beskytte administratorkontoer fra potensielle brute force og ordbokangrep.

Trender

Mest sett

Laster inn...