Descontos para múltiplas licenças
Threat Database Botnets Ddostf Botnet

Ddostf Botnet

Por Mezo em Botnets
Traduzir Para:
Português

O botnet de malware ‘Ddostf’ está se concentrando ativamente em servidores MySQL, com o objetivo de sequestrá-los para uma plataforma DDoS como serviço que aluga seu poder de fogo para outros cibercriminosos. De acordo com as descobertas dos pesquisadores de segurança cibernética, os operadores do Ddostf exploram vulnerabilidades em ambientes MySQL que não foram corrigidos ou empregam ataques de força bruta em credenciais fracas de contas de administrador para comprometer os servidores visados.

Os Hackers por Trás do Botnet Ddostf Exploram Funções Legítimas

Os ciberataques estão ativamente escaneando a Internet em busca de servidores MySQL expostos e, após a identificação, empregam técnicas de força bruta para violá-los. No caso de servidores Windows MySQL, os agentes de ameaças utilizam um recurso conhecido como funções definidas pelo usuário (UDFs) para executar comandos no sistema comprometido.

UDF é um recurso do MySQL que permite aos usuários definir funções em C ou C++, compilando-as em um arquivo DLL (biblioteca de vínculo dinâmico) para estender os recursos do servidor de banco de dados. Nesse cenário, os invasores criam suas próprias UDFs e as registram no servidor de banco de dados, nomeando o arquivo DLL como 'amd.dll' e incorporando funções maliciosas, incluindo:

    • Baixar cargas úteis, como o bot Ddostf DDoS, de um servidor remoto.
    • Executar comandos arbitrários no nível do sistema enviados pelos invasores.
    • Capturar os resultados da execução de comandos, armazená-los em um arquivo temporário e enviá-los de volta aos invasores.

A exploração de UDFs serve como um mecanismo para carregar a carga primária do ataque – o cliente bot Ddostf. No entanto, esse abuso de UDFs também abre a porta para a possível instalação de outros malwares, exfiltração de dados, estabelecimento de backdoors para acesso persistente e várias outras atividades maliciosas.

O Botnet Ddostf pode Se Conectar a Novos Endereços de Comando e Controle (C2)

Originário da China, o Ddostf é um botnet de malware que surgiu há cerca de sete anos, visando sistemas Linux e Windows.

Ao se infiltrar nos sistemas Windows, o malware garante persistência registrando-se como um serviço do sistema durante sua execução inicial. Posteriormente, ele descriptografa sua configuração de Comando e Controle (C2) para estabelecer uma conexão. O malware então coleta informações sobre o sistema host, incluindo frequência da CPU, contagem de núcleos, detalhes do idioma, versão do Windows, velocidade da rede e muito mais. Esses dados são transmitidos ao servidor C2.

O servidor C2 tem a capacidade de emitir vários comandos para o cliente botnet, desde instruções de ataque DDoS (como ataques SYN Flood, UDP Flood e HTTP GET/POST Flood) até solicitações para interromper a transmissão de informações de status do sistema, mudando para um novo endereço C2 ou baixando e executando uma nova carga útil. O recurso exclusivo do Ddostf reside na sua capacidade de se conectar a um novo endereço C2, proporcionando-lhe resiliência contra tentativas de remoção – diferenciando-o da maioria dos malwares de botnet DDoS.

À luz destes desenvolvimentos, os especialistas em segurança cibernética recomendam que os administradores do MySQL permaneçam vigilantes, aplicando as atualizações mais recentes e implementando medidas de segurança robustas, como o uso de senhas longas e exclusivas. Isso ajuda a proteger as contas de administrador contra possíveis ataques de força bruta e de dicionário.

Tendendo

Mais visto

Carregando...