Ddostf Botnet

Botnetni botnet zlonamerne programske opreme 'Ddostf' se aktivno osredotoča na strežnike MySQL in jih želi ugrabiti za platformo DDoS-as-a-Service, ki svojo ognjeno moč izposoja kolegom kibernetskim kriminalcem. Po ugotovitvah raziskovalcev kibernetske varnosti operaterji Ddostf izkoriščajo ranljivosti v okoljih MySQL, ki niso bili popravljeni, ali uporabljajo napade s surovo silo na šibke poverilnice skrbniškega računa, da bi ogrozili ciljne strežnike.

Hekerji, ki stojijo za botnetom Ddostf, izkoriščajo zakonite funkcije

Kibernetski napadalci aktivno pregledujejo internet za izpostavljenimi strežniki MySQL in po identifikaciji uporabljajo tehnike surove sile, da jih zlomijo. V primeru strežnikov Windows MySQL akterji groženj uporabljajo funkcijo, znano kot uporabniško definirane funkcije (UDF), za izvajanje ukazov v ogroženem sistemu.

UDF je funkcija MySQL, ki uporabnikom omogoča definiranje funkcij v C ali C++ in njihovo prevajanje v datoteko DLL (dinamična povezovalna knjižnica) za razširitev zmogljivosti strežnika baze podatkov. V tem scenariju napadalci izdelajo lastne UDF-je in jih registrirajo v strežniku zbirke podatkov, pri čemer datoteko DLL poimenujejo »amd.dll« in vključijo zlonamerne funkcije, vključno z:

• Prenos koristnih vsebin, kot je bot Ddostf DDoS, z oddaljenega strežnika.
• Izvajanje poljubnih ukazov na ravni sistema, ki jih pošljejo napadalci.
• Zajemanje rezultatov izvajanja ukazov, njihovo shranjevanje v začasno datoteko in pošiljanje nazaj napadalcem.

Izkoriščanje UDF-jev služi kot mehanizem za nalaganje primarnega tovora napada – odjemalca Ddostf bot. Vendar pa ta zloraba UDF-jev odpira tudi vrata morebitni namestitvi druge zlonamerne programske opreme, izruvanju podatkov, vzpostavitvi zakulisnih vrat za trajni dostop in raznim drugim zlonamernim dejavnostim.

Ddostf Botnet se lahko poveže z novimi naslovi za ukazovanje in nadzor (C2).

Ddostf, ki izvira iz Kitajske, je botnet za zlonamerno programsko opremo, ki se je pojavil pred približno sedmimi leti in cilja na sisteme Linux in Windows.

Po infiltraciji v sisteme Windows zlonamerna programska oprema zagotovi obstojnost tako, da se med začetnim izvajanjem registrira kot sistemska storitev. Nato dešifrira svojo konfiguracijo ukaza in nadzora (C2), da vzpostavi povezavo. Zlonamerna programska oprema nato zbere informacije o gostiteljskem sistemu, vključno s frekvenco procesorja, številom jeder, jezikovnimi podrobnostmi, različico sistema Windows, hitrostjo omrežja in drugim. Ti podatki se prenesejo na strežnik C2.

Strežnik C2 ima zmožnost izdajanja različnih ukazov odjemalcu botneta, od navodil za napad DDoS (kot so SYN Flood, UDP Flood in HTTP GET/POST Flood napadi) do zahtev za prekinitev prenosa informacij o statusu sistema, spreminjanje v nov naslov C2 ali prenos in izvajanje novega koristnega tovora. Edinstvena lastnost Ddostfa je v njegovi zmožnosti povezovanja z novim naslovom C2, kar mu zagotavlja odpornost proti poskusom odstranitve, kar ga ločuje od večine zlonamerne programske opreme botnetov DDoS.

V luči teh dogodkov strokovnjaki za kibernetsko varnost priporočajo skrbnikom MySQL, da ostanejo pozorni z uporabo najnovejših posodobitev in izvajanjem robustnih varnostnih ukrepov, kot je uporaba dolgih in edinstvenih gesel. To pomaga zaščititi skrbniške račune pred morebitnimi napadi s surovo silo in slovarjem.