Botnet Ddostf

Malvérový botnet „Ddostf“ sa aktívne zameriava na servery MySQL s cieľom uniesť ich pre platformu DDoS-as-a-Service, ktorá prenajíma svoju palebnú silu ďalším kyberzločincom. Podľa zistení výskumníkov v oblasti kybernetickej bezpečnosti prevádzkovatelia Ddostf využívajú zraniteľné miesta v prostrediach MySQL, ktoré neboli opravené, alebo využívajú útoky hrubou silou na slabé poverenia správcovských účtov, aby kompromitovali cieľové servery.

Hackeri stojaci za botnetom Ddostf využívajú legitímne funkcie

Kybernetickí útočníci aktívne prehľadávajú internet, či neobsahujú odhalené servery MySQL, a po identifikácii využívajú techniky hrubej sily na ich prelomenie. V prípade serverov Windows MySQL využívajú aktéri hrozieb funkciu známu ako používateľsky definované funkcie (UDF) na vykonávanie príkazov na napadnutom systéme.

UDF je funkcia MySQL, ktorá umožňuje používateľom definovať funkcie v C alebo C++, kompilovať ich do súboru DLL (dynamicky prepájaná knižnica), aby sa rozšírili možnosti databázového servera. V tomto scenári útočníci vytvoria svoje vlastné UDF a zaregistrujú ich na databázovom serveri, pričom pomenujú súbor DLL „amd.dll“ a zahrnú škodlivé funkcie vrátane:

• Sťahovanie dát, ako je napríklad robot Ddostf DDoS, zo vzdialeného servera.
• Vykonávanie ľubovoľných príkazov na úrovni systému odoslaných útočníkmi.
• Zachytenie výsledkov vykonávania príkazov, ich uloženie do dočasného súboru a ich odoslanie späť útočníkom.

Využitie UDF slúži ako mechanizmus na načítanie primárneho užitočného zaťaženia útoku – klienta bot Ddostf. Toto zneužitie UDF však otvára dvere aj možnej inštalácii ďalšieho malvéru, exfiltrácii dát, vytváraniu zadných vrátok pre trvalý prístup a rôznym iným škodlivým aktivitám.

Botnet Ddostf sa môže pripojiť k novým adresám príkazov a riadenia (C2).

Ddostf pochádzajúci z Číny je malvérový botnet, ktorý sa objavil asi pred siedmimi rokmi a zameriava sa na systémy Linux aj Windows.

Po infiltrácii systémov Windows zaisťuje malvér pretrvávanie tým, že sa zaregistruje ako systémová služba počas počiatočného spustenia. Následne dešifruje svoju konfiguráciu Command-and-Control (C2), aby vytvoril spojenie. Malvér potom zhromažďuje informácie o hostiteľskom systéme vrátane frekvencie procesora, počtu jadier, podrobností o jazyku, verzie systému Windows, rýchlosti siete a ďalších. Tieto údaje sa prenášajú na server C2.

Server C2 má schopnosť vydávať rôzne príkazy klientovi botnetu, od inštrukcií k útoku DDoS (ako sú útoky SYN Flood, UDP Flood a HTTP GET/POST Flood) až po požiadavky na prerušenie prenosu informácií o stave systému, ktoré sa menia na novú adresu C2 alebo sťahovanie a spustenie nového užitočného zaťaženia. Jedinečná funkcia Ddostf spočíva v jeho schopnosti pripojiť sa k novej adrese C2, čo jej poskytuje odolnosť proti pokusom o odstránenie – čím sa odlišuje od väčšiny malvéru botnetov DDoS.

Vo svetle tohto vývoja odborníci na kybernetickú bezpečnosť odporúčajú, aby správcovia MySQL zostali ostražití a používali najnovšie aktualizácie a implementovali robustné bezpečnostné opatrenia, ako je používanie dlhých a jedinečných hesiel. Pomáha to chrániť účty správcov pred potenciálnou hrubou silou a útokmi na slovníky.