Zniżki na wiele licencji
Threat Database Botnets Ddostf Botnet

Ddostf Botnet

Do Mezo w Botnets
Przetłumacz na:
Polski

Botnet szkodliwego oprogramowania „Ddostf” aktywnie koncentruje się na serwerach MySQL, starając się je przejąć w celu wykorzystania platformy DDoS jako usługi, która udostępnia swoją siłę innym cyberprzestępcom. Z ustaleń badaczy cyberbezpieczeństwa wynika, że operatorzy Ddostf wykorzystują luki w zabezpieczeniach środowisk MySQL, które nie zostały załatane, lub stosują ataki brute-force na słabe dane uwierzytelniające konta administratora w celu naruszenia bezpieczeństwa docelowych serwerów.

Hakerzy stojący za botnetem Ddostf wykorzystują legalne funkcje

Cyberprzestępcy aktywnie skanują Internet w poszukiwaniu odsłoniętych serwerów MySQL i po identyfikacji wykorzystują techniki brute-force, aby je złamać. W przypadku serwerów Windows MySQL ugrupowania zagrażające wykorzystują funkcję zwaną funkcjami zdefiniowanymi przez użytkownika (UDF) do wykonywania poleceń w zaatakowanym systemie.

UDF to funkcja MySQL, która umożliwia użytkownikom definiowanie funkcji w C lub C++ i kompilowanie ich do pliku DLL (biblioteki dołączanej dynamicznie) w celu rozszerzenia możliwości serwera bazy danych. W tym scenariuszu osoby atakujące tworzą własne UDF i rejestrują je na serwerze bazy danych, nadając plikowi DLL nazwę „amd.dll” i włączając złośliwe funkcje, w tym:

  • Pobieranie ładunków, takich jak bot DDoS DDoS, ze zdalnego serwera.
  • Wykonywanie dowolnych poleceń na poziomie systemu wysłanych przez osoby atakujące.
  • Przechwytywanie wyników wykonania poleceń, przechowywanie ich w pliku tymczasowym i wysyłanie z powrotem do atakujących.

Wykorzystywanie UDF służy jako mechanizm ładowania głównego ładunku ataku — klienta bota Ddostf. Jednak to nadużycie UDF otwiera również drzwi do potencjalnej instalacji innego złośliwego oprogramowania, eksfiltracji danych, tworzenia backdoorów w celu zapewnienia stałego dostępu i różnych innych złośliwych działań.

Botnet Ddostf może łączyć się z nowymi adresami dowodzenia i kontroli (C2).

Pochodzący z Chin Ddostf to botnet zawierający szkodliwe oprogramowanie, który pojawił się około siedem lat temu i którego celem są zarówno systemy Linux, jak i Windows.

Po infiltracji systemów Windows szkodliwe oprogramowanie zapewnia trwałość, rejestrując się jako usługa systemowa podczas pierwszego uruchomienia. Następnie odszyfrowuje swoją konfigurację dowodzenia i kontroli (C2), aby nawiązać połączenie. Następnie złośliwe oprogramowanie zbiera informacje o systemie hosta, w tym częstotliwość procesora, liczbę rdzeni, szczegóły języka, wersję systemu Windows, szybkość sieci i inne. Dane te przesyłane są do serwera C2.

Serwer C2 może wydawać różne polecenia klientowi botnetu, począwszy od instrukcji ataku DDoS (takich jak ataki SYN Flood, UDP Flood i HTTP GET/POST Flood) po żądania zaprzestania przesyłania informacji o stanie systemu, zmiany na nowy adres C2 lub pobranie i wykonanie nowego ładunku. Unikalna funkcja Ddostf polega na jego zdolności do łączenia się z nowym adresem C2, co zapewnia mu odporność na próby usunięcia, co odróżnia go od większości złośliwego oprogramowania botnet DDoS.

W świetle tych zmian eksperci ds. cyberbezpieczeństwa zalecają administratorom MySQL zachowanie czujności poprzez stosowanie najnowszych aktualizacji i wdrażanie solidnych środków bezpieczeństwa, takich jak używanie długich i unikalnych haseł. Pomaga to chronić konta administratorów przed potencjalnymi atakami typu brute-force i słownikowymi.

Popularne

Najczęściej oglądane

Ładowanie...