Ddostf Botnet

Botnet-i i malware 'Ddostf' po fokusohet në mënyrë aktive në serverët MySQL, duke synuar t'i rrëmbejë ata për një platformë DDoS-as-a-Service që jep me qira fuqinë e tij të zjarrit për kriminelët e tjerë kibernetikë. Sipas gjetjeve të studiuesve të sigurisë kibernetike, operatorët e Ddostf shfrytëzojnë dobësitë në mjediset MySQL që nuk janë korrigjuar ose përdorin sulme brutale mbi kredencialet e dobëta të llogarisë së administratorit për të komprometuar serverët e synuar.

Hakerët pas Botnet-it Ddostf shfrytëzojnë funksione legjitime

Sulmuesit kibernetikë po skanojnë në mënyrë aktive internetin për serverë të ekspozuar MySQL dhe, pas identifikimit, përdorin teknika brute-force për t'i shkelur ato. Në rastin e serverëve Windows MySQL, aktorët e kërcënimit përdorin një veçori të njohur si funksionet e përcaktuara nga përdoruesi (UDF) për të ekzekutuar komanda në sistemin e komprometuar.

UDF është një veçori MySQL që u mundëson përdoruesve të përcaktojnë funksionet në C ose C++, duke i përpiluar ato në një skedar DLL (bibliotekë me lidhje dinamike) për të zgjeruar aftësitë e serverit të bazës së të dhënave. Në këtë skenar, sulmuesit krijojnë UDF-të e tyre dhe i regjistrojnë ato në serverin e bazës së të dhënave, duke emërtuar skedarin DLL 'amd.dll' dhe duke përfshirë funksione me qëllim të keq, duke përfshirë:

• Shkarkimi i ngarkesave të dobishme si boti Ddostf DDoS nga një server në distancë.
• Ekzekutimi i komandave arbitrare të nivelit të sistemit të dërguara nga sulmuesit.
• Kapja e rezultateve të ekzekutimit të komandës, ruajtja e tyre në një skedar të përkohshëm dhe dërgimi i tyre përsëri te sulmuesit.

Shfrytëzimi i UDF-ve shërben si një mekanizëm për ngarkimin e ngarkesës kryesore të sulmit - klienti bot Ddostf. Megjithatë, ky abuzim i UDF-ve hap gjithashtu derën për instalimin e mundshëm të malware të tjerë, ekfiltrimin e të dhënave, krijimin e dyerve të pasme për akses të vazhdueshëm dhe aktivitete të tjera të tjera me qëllim të keq.

Ddostf Botnet mund të lidhet me adresat e reja të komandës dhe kontrollit (C2).

Me origjinë nga Kina, Ddostf është një botnet malware që u shfaq rreth shtatë vjet më parë, duke synuar të dy sistemet Linux dhe Windows.

Me infiltrimin e sistemeve të Windows, malware siguron qëndrueshmëri duke u regjistruar si një shërbim sistemi gjatë ekzekutimit të tij fillestar. Më pas, ai deshifron konfigurimin e tij Command-and-Control (C2) për të krijuar një lidhje. Malware më pas mbledh informacione rreth sistemit pritës, duke përfshirë frekuencën e CPU-së, numrin e bërthamave, detajet e gjuhës, versionin e Windows, shpejtësinë e rrjetit dhe më shumë. Këto të dhëna transmetohen në serverin C2.

Serveri C2 ka aftësinë të lëshojë komanda të ndryshme për klientin botnet, duke filluar nga udhëzimet e sulmit DDoS (siç janë sulmet SYN Flood, UDP Flood dhe HTTP GET/POST Flood) deri te kërkesat për ndërprerjen e transmetimit të informacionit të statusit të sistemit, duke ndryshuar në një adresë të re C2, ose shkarkimi dhe ekzekutimi i një ngarkese të re. Karakteristika unike e Ddostf qëndron në aftësinë e tij për t'u lidhur me një adresë të re C2, duke i siguruar asaj qëndrueshmëri ndaj përpjekjeve për heqje - duke e veçuar atë nga shumica e malware-it të botnetit DDoS.

Në dritën e këtyre zhvillimeve, ekspertët e sigurisë kibernetike rekomandojnë që administratorët e MySQL të qëndrojnë vigjilentë duke aplikuar përditësimet më të fundit dhe duke zbatuar masa të forta sigurie, të tilla si përdorimi i fjalëkalimeve të gjata dhe unike. Kjo ndihmon në mbrojtjen e llogarive të administratorit nga sulmet e mundshme të forcës brutale dhe fjalorit.