Ddostf Botnet

Rețeaua botnet malware „Ddostf” se concentrează în mod activ pe serverele MySQL, cu scopul de a le deturna pentru o platformă DDoS-as-a-Service care își închiriază puterea de foc altor criminali cibernetici. Conform constatărilor cercetătorilor în domeniul securității cibernetice, operatorii Ddostf exploatează vulnerabilitățile din mediile MySQL care nu au fost corectate sau folosesc atacuri cu forță brută asupra acreditărilor slabe ale contului de administrator pentru a compromite serverele vizate.

Hackerii din spatele rețelei botnet Ddostf exploatează funcții legitime

Atacatorii cibernetici scanează în mod activ Internetul în căutarea serverelor MySQL expuse și, după identificare, folosesc tehnici de forță brută pentru a le încălca. În cazul serverelor Windows MySQL, actorii amenințărilor utilizează o caracteristică cunoscută sub numele de funcții definite de utilizator (UDF) pentru a executa comenzi pe sistemul compromis.

UDF este o caracteristică MySQL care permite utilizatorilor să definească funcții în C sau C++, compilându-le într-un fișier DLL (bibliotecă de link-uri dinamice) pentru a extinde capacitățile serverului de baze de date. În acest scenariu, atacatorii își creează propriile UDF-uri și le înregistrează pe serverul bazei de date, denumind fișierul DLL „amd.dll” și încorporând funcții rău intenționate, inclusiv:

• Descărcarea sarcinilor utile, cum ar fi botul Ddostf DDoS de pe un server la distanță.
• Executarea comenzilor arbitrare la nivel de sistem trimise de atacatori.
• Captarea rezultatelor executării comenzii, stocarea lor într-un fișier temporar și trimiterea lor înapoi atacatorilor.

Exploatarea UDF-urilor servește ca un mecanism pentru încărcarea sarcinii utile primare a atacului - clientul bot Ddostf. Cu toate acestea, acest abuz al UDF-urilor deschide, de asemenea, ușa pentru instalarea potențială a altor programe malware, exfiltrarea datelor, stabilirea de uși din spate pentru acces persistent și diverse alte activități rău intenționate.

Ddostf Botnet se poate conecta la noi adrese de comandă și control (C2).

Originar din China, Ddostf este o rețea botnet malware care a apărut în urmă cu aproximativ șapte ani, vizând atât sistemele Linux, cât și Windows.

La infiltrarea sistemelor Windows, malware-ul asigură persistența înregistrându-se ca serviciu de sistem în timpul execuției sale inițiale. Ulterior, își decriptează configurația Command-and-Control (C2) pentru a stabili o conexiune. Malware-ul adună apoi informații despre sistemul gazdă, inclusiv frecvența procesorului, numărul de nuclee, detalii despre limbă, versiunea Windows, viteza rețelei și multe altele. Aceste date sunt transmise serverului C2.

Serverul C2 are capacitatea de a lansa diverse comenzi către clientul botnetului, de la instrucțiuni de atac DDoS (cum ar fi atacuri SYN Flood, UDP Flood și HTTP GET/POST Flood) până la solicitări de întrerupere a transmiterii informațiilor despre starea sistemului, trecând la o nouă adresă C2 sau descărcarea și executarea unei noi sarcini utile. Caracteristica unică a Ddostf constă în capacitatea sa de a se conecta la o nouă adresă C2, oferindu-i rezistență împotriva încercărilor de eliminare, deosebindu-l de majoritatea malware-ului botnet DDoS.

În lumina acestor evoluții, experții în securitate cibernetică recomandă administratorilor MySQL să rămână vigilenți, aplicând cele mai recente actualizări și implementând măsuri de securitate robuste, cum ar fi utilizarea parolelor lungi și unice. Acest lucru ajută la protejarea conturilor de administrator de potențialele atacuri de forță brută și de dicționar.