Ddostf बोटनेट
'Ddostf' मालवेयर बोटनेटले सक्रिय रूपमा MySQL सर्भरहरूमा ध्यान केन्द्रित गरिरहेको छ, तिनीहरूलाई DDoS-as-a-Service प्लेटफर्मको लागि अपहरण गर्ने लक्ष्य राखेको छ जसले आफ्नो फायरपावर सँगी साइबर अपराधीहरूलाई भाडामा दिन्छ। साइबरसुरक्षा अनुसन्धानकर्ताहरूको खोज अनुसार, Ddostf का अपरेटरहरूले MySQL वातावरणमा कमजोरीहरूको शोषण गर्दछ जुन प्याच गरिएको छैन वा कमजोर प्रशासक खाता प्रमाणहरूमा लक्षित सर्भरहरू सम्झौता गर्नको लागि ब्रूट-फोर्स आक्रमणहरू प्रयोग गर्दछ।
Ddostf Botnet को पछाडि ह्याकरहरूले वैध कार्यहरू शोषण गर्छन्
साइबर आक्रमणकारीहरूले खुला MySQL सर्भरहरूको लागि सक्रिय रूपमा इन्टरनेट स्क्यान गर्दै छन् र पहिचान गरेपछि, तिनीहरूलाई उल्लंघन गर्न ब्रूट-फोर्स प्रविधिहरू प्रयोग गर्छन्। विन्डोज MySQL सर्भरहरूको मामलामा, खतरा अभिनेताहरूले सम्झौता प्रणालीमा आदेशहरू कार्यान्वयन गर्न प्रयोगकर्ता-परिभाषित प्रकार्यहरू (UDFs) भनेर चिनिने सुविधा प्रयोग गर्छन्।
UDF एक MySQL सुविधा हो जसले प्रयोगकर्ताहरूलाई C वा C++ मा कार्यहरू परिभाषित गर्न सक्षम बनाउँछ, तिनीहरूलाई DLL (गतिशील लिङ्क लाइब्रेरी) फाइलमा डाटाबेस सर्भरको क्षमता विस्तार गर्न कम्पाइल गर्दै। यस परिदृश्यमा, आक्रमणकारीहरूले आफ्नै UDF हरू बनाउँछन् र डाटाबेस सर्भरमा दर्ता गर्छन्, DLL फाइललाई 'amd.dll' नाम दिएर र मालिसियस प्रकार्यहरू समावेश गर्दछ, जसमा:
- रिमोट सर्भरबाट Ddostf DDoS बोट जस्ता पेलोडहरू डाउनलोड गर्दै।
- आक्रमणकारीहरू द्वारा पठाइएको मनमानी प्रणाली-स्तर आदेशहरू कार्यान्वयन गर्दै।
- आदेश कार्यान्वयनको नतिजाहरू क्याप्चर गर्दै, तिनीहरूलाई अस्थायी फाइलमा भण्डारण गर्दै, र तिनीहरूलाई आक्रमणकारीहरूलाई फिर्ता पठाउँदै।
UDFs को शोषणले आक्रमणको प्राथमिक पेलोड लोड गर्ने संयन्त्रको रूपमा कार्य गर्दछ — Ddostf बोट ग्राहक। यद्यपि, UDFs को यो दुरुपयोगले अन्य मालवेयरको सम्भावित स्थापना, डाटा निष्कासन, निरन्तर पहुँचको लागि ब्याकडोरहरूको स्थापना, र अन्य विभिन्न दुर्भावनापूर्ण गतिविधिहरूको लागि ढोका पनि खोल्छ।
Ddostf बोटनेटले नयाँ कमाण्ड र कन्ट्रोल (C2) ठेगानाहरूमा जडान गर्न सक्छ।
चीनबाट उत्पत्ति भएको, Ddostf एक मालवेयर बोटनेट हो जुन लगभग सात वर्ष अघि देखा पर्यो, दुबै लिनक्स र विन्डोज प्रणालीहरूलाई लक्षित गर्दै।
विन्डोज प्रणालीहरूमा घुसपैठ गर्दा, मालवेयरले यसको प्रारम्भिक कार्यान्वयनको क्रममा आफैलाई प्रणाली सेवाको रूपमा दर्ता गरेर दृढता सुनिश्चित गर्दछ। पछि, यसले जडान स्थापना गर्न यसको कमाण्ड-र-कन्ट्रोल (C2) कन्फिगरेसन डिक्रिप्ट गर्दछ। मालवेयरले सीपीयू फ्रिक्वेन्सी, कोर गणना, भाषा विवरण, विन्डोज संस्करण, नेटवर्क गति, र थप सहित होस्ट प्रणालीको बारेमा जानकारी सङ्कलन गर्दछ। यो डाटा C2 सर्भरमा पठाइन्छ।
C2 सर्भरसँग बोटनेट क्लाइन्टलाई विभिन्न आदेशहरू जारी गर्ने क्षमता छ, DDoS आक्रमण निर्देशनहरू (जस्तै SYN फ्लड, UDP फ्लड, र HTTP GET/POST फ्लड आक्रमणहरू) देखि प्रणाली स्थिति जानकारीको प्रसारण रोक्नको लागि अनुरोधहरू सम्म, परिवर्तन गर्न। नयाँ C2 ठेगाना, वा नयाँ पेलोड डाउनलोड र कार्यान्वयन गर्दै। Ddostf को अद्वितीय विशेषता नयाँ C2 ठेगानामा जडान गर्ने क्षमतामा निहित छ, यसलाई हटाउने प्रयासहरू विरुद्ध लचिलोपन प्रदान गर्दै - यसलाई DDoS बोटनेट मालवेयरको बहुमतबाट अलग राख्दै।
यी घटनाक्रमहरूको प्रकाशमा, साइबरसुरक्षा विशेषज्ञहरूले MySQL प्रशासकहरूलाई नवीनतम अद्यावधिकहरू लागू गरेर र बलियो सुरक्षा उपायहरू लागू गरेर सतर्क रहन सिफारिस गर्छन्, जस्तै लामो र अद्वितीय पासवर्डहरू प्रयोग गरेर। यसले सम्भावित क्रूर बल र शब्दकोश आक्रमणहरूबाट प्रशासक खाताहरू सुरक्षित गर्न मद्दत गर्दछ।
