Ddostf-botnet

Het 'Ddostf'-malwarebotnet richt zich actief op MySQL-servers, met als doel deze te kapen voor een DDoS-as-a-Service-platform dat zijn vuurkracht verhuurt aan collega-cybercriminelen. Volgens de bevindingen van cybersecurityonderzoekers maken de operators van Ddostf misbruik van kwetsbaarheden in MySQL-omgevingen die niet zijn gepatcht of passen ze brute-force aanvallen toe op zwakke beheerdersaccountreferenties om de beoogde servers in gevaar te brengen.

De hackers achter het Ddostf-botnet maken gebruik van legitieme functies

Cyberaanvallers scannen actief het internet op zoek naar blootgestelde MySQL-servers en gebruiken bij identificatie brute-force-technieken om deze te doorbreken. In het geval van Windows MySQL-servers gebruiken bedreigingsactoren een functie die bekend staat als door de gebruiker gedefinieerde functies (UDF's) om opdrachten uit te voeren op het aangetaste systeem.

UDF is een MySQL-functie waarmee gebruikers functies in C of C++ kunnen definiëren en deze kunnen compileren in een DLL-bestand (Dynamic Link Library) om de mogelijkheden van de databaseserver uit te breiden. In dit scenario maken aanvallers hun eigen UDF's en registreren deze bij de databaseserver, waarbij ze het DLL-bestand 'amd.dll' noemen en kwaadaardige functies bevatten, waaronder:

• Payloads zoals de Ddostf DDoS-bot downloaden van een externe server.
• Het uitvoeren van willekeurige opdrachten op systeemniveau die door de aanvallers zijn verzonden.
• Het vastleggen van de resultaten van de uitvoering van opdrachten, deze opslaan in een tijdelijk bestand en terugsturen naar de aanvallers.

Het exploiteren van UDF's dient als een mechanisme voor het laden van de primaire lading van de aanval: de Ddostf-botclient. Dit misbruik van UDF's opent echter ook de deur voor de mogelijke installatie van andere malware, data-exfiltratie, het opzetten van backdoors voor permanente toegang en diverse andere kwaadaardige activiteiten.

Het Ddostf Botnet kan verbinding maken met nieuwe Command-and-Control (C2)-adressen

Ddostf, afkomstig uit China, is een malwarebotnet dat ongeveer zeven jaar geleden opkwam en zich richt op zowel Linux- als Windows-systemen.

Bij het infiltreren van Windows-systemen zorgt de malware voor persistentie door zichzelf tijdens de eerste uitvoering te registreren als een systeemservice. Vervolgens decodeert het zijn Command-and-Control (C2)-configuratie om een verbinding tot stand te brengen. De malware verzamelt vervolgens informatie over het hostsysteem, waaronder CPU-frequentie, aantal cores, taaldetails, Windows-versie, netwerksnelheid en meer. Deze gegevens worden verzonden naar de C2-server.

De C2-server heeft de mogelijkheid om verschillende commando's aan de botnetclient te geven, variërend van DDoS-aanvalsinstructies (zoals SYN Flood-, UDP Flood- en HTTP GET/POST Flood-aanvallen) tot verzoeken om de overdracht van systeemstatusinformatie te stoppen, het wijzigen naar een nieuw C2-adres, of het downloaden en uitvoeren van een nieuwe payload. De unieke eigenschap van Ddostf ligt in zijn vermogen om verbinding te maken met een nieuw C2-adres, waardoor het bestand is tegen verwijderingspogingen, waardoor het zich onderscheidt van de meerderheid van de DDoS-botnet-malware.

In het licht van deze ontwikkelingen raden cybersecurity-experts aan dat MySQL-beheerders waakzaam blijven door de nieuwste updates toe te passen en robuuste beveiligingsmaatregelen te implementeren, zoals het gebruik van lange en unieke wachtwoorden. Dit helpt beheerdersaccounts te beschermen tegen mogelijke brute force- en woordenboekaanvallen.