Ботнет Ddostf

Вредоносный ботнет Ddostf активно концентрируется на серверах MySQL, стремясь перехватить их для создания платформы DDoS-as-a-Service, которая сдает свою огневую мощь в аренду другим киберпреступникам. Согласно выводам исследователей кибербезопасности, операторы Ddostf эксплуатируют уязвимости в средах MySQL, которые не были исправлены, или используют грубые атаки на слабые учетные данные администратора для компрометации целевых серверов.

Хакеры, стоящие за ботнетом Ddostf, используют законные функции

Киберзлоумышленники активно сканируют Интернет в поисках открытых серверов MySQL и после идентификации используют методы грубой силы для их взлома. В случае с серверами Windows MySQL злоумышленники используют функцию, известную как определяемые пользователем функции (UDF), для выполнения команд в скомпрометированной системе.

UDF — это функция MySQL, которая позволяет пользователям определять функции на C или C++, компилируя их в файл DLL (динамически подключаемая библиотека) для расширения возможностей сервера базы данных. В этом сценарии злоумышленники создают свои собственные пользовательские функции и регистрируют их на сервере базы данных, называя файл DLL «amd.dll» и внедряя вредоносные функции, в том числе:

• Загрузка полезных данных, таких как DDoS-бот Ddostf, с удаленного сервера.
• Выполнение произвольных команд системного уровня, отправленных злоумышленниками.
• Перехват результатов выполнения команд, сохранение их во временном файле и отправка обратно злоумышленникам.

Использование UDF служит механизмом загрузки основной полезной нагрузки атаки — клиента-бота Ddostf. Однако такое злоупотребление UDF также открывает возможности для потенциальной установки других вредоносных программ, кражи данных, создания бэкдоров для постоянного доступа и различных других вредоносных действий.

Ботнет Ddostf может подключаться к новым адресам управления и контроля (C2)

Родом из Китая, Ddostf — это вредоносный ботнет, появившийся около семи лет назад и нацеленный как на системы Linux, так и на Windows.

При проникновении в системы Windows вредоносное ПО обеспечивает свою устойчивость, регистрируя себя в качестве системной службы во время первоначального выполнения. Впоследствии он расшифровывает свою конфигурацию управления и контроля (C2) для установления соединения. Затем вредоносное ПО собирает информацию о хост-системе, включая частоту процессора, количество ядер, сведения о языке, версию Windows, скорость сети и многое другое. Эти данные передаются на сервер C2.

Сервер C2 имеет возможность выдавать различные команды клиенту ботнета, начиная от инструкций по DDoS-атаке (таких как SYN Flood, UDP Flood и атаки HTTP GET/POST Flood) до запросов на прекращение передачи информации о состоянии системы, изменяющихся на новый адрес C2 или загрузка и выполнение новой полезной нагрузки. Уникальная особенность Ddostf заключается в его способности подключаться к новому адресу C2, что обеспечивает устойчивость к попыткам удаления, что отличает его от большинства вредоносных программ DDoS-ботнетов.

В свете этих событий эксперты по кибербезопасности рекомендуют администраторам MySQL сохранять бдительность, применяя последние обновления и внедряя надежные меры безопасности, такие как использование длинных и уникальных паролей. Это помогает защитить учетные записи администратора от потенциальных атак методом грубой силы и словаря.