Ддостф Ботнет

'Ддостф' малвер ботнет се активно фокусира на МиСКЛ сервере, са циљем да их отме за платформу ДДоС-као-услуга која изнајмљује своју ватрену моћ другим сајбер криминалцима. Према налазима истраживача сајбер безбедности, оператери Ддостф-а искоришћавају рањивости у МиСКЛ окружењима која нису закрпљена или користе грубе нападе на слабе акредитиве налога администратора да би компромитовали циљане сервере.

Хакери иза Ддостф ботнета искориштавају легитимне функције

Сајбер нападачи активно скенирају Интернет у потрази за откривеним МиСКЛ серверима и, након идентификације, користе технике грубе силе да их пробију. У случају Виндовс МиСКЛ сервера, актери претњи користе функцију познату као кориснички дефинисане функције (УДФ) за извршавање команди на компромитованом систему.

УДФ је МиСКЛ функција која омогућава корисницима да дефинишу функције у Ц или Ц++, компајлирајући их у ДЛЛ (библиотеку динамичких веза) датотеку како би се прошириле могућности сервера базе података. У овом сценарију, нападачи креирају сопствене УДФ-ове и региструју их на серверу базе података, именујући ДЛЛ датотеку 'амд.длл' и уграђујући злонамерне функције, укључујући:

• Преузимање корисних података као што је Ддостф ДДоС бот са удаљеног сервера.
• Извршавање произвољних команди на нивоу система које шаљу нападачи.
• Снимање резултата извршења команде, њихово складиштење у привремену датотеку и њихово слање назад нападачима.

Искоришћавање УДФ-ова служи као механизам за учитавање примарног корисног оптерећења напада — Ддостф бот клијента. Међутим, ова злоупотреба УДФ-ова такође отвара врата потенцијалној инсталацији другог малвера, ексфилтрацији података, успостављању бацкдоор-а за упоран приступ и разним другим злонамерним активностима.

Ддостф Ботнет може да се повеже са новим адресама за команду и контролу (Ц2).

Пореклом из Кине, Ддостф је ботнет за малвер који се појавио пре око седам година, циљајући и Линук и Виндовс системе.

Након инфилтрирања у Виндовс системе, злонамерни софтвер обезбеђује постојаност тако што се региструје као системска услуга током свог почетног извршавања. Након тога, дешифрује своју командну и контролу (Ц2) конфигурацију да би успоставио везу. Малвер затим прикупља информације о хост систему, укључујући фреквенцију процесора, број језгара, детаље о језику, верзију Виндовс-а, брзину мреже и још много тога. Ови подаци се преносе на Ц2 сервер.

Ц2 сервер има могућност да изда различите команде ботнет клијенту, у распону од инструкција за ДДоС напад (као што су СИН Флоод, УДП Флоод и ХТТП ГЕТ/ПОСТ Флоод напади) до захтева за прекид преноса информација о статусу система, мењајући у нову Ц2 адресу, или преузимање и извршавање новог корисног оптерећења. Јединствена карактеристика Ддостф-а лежи у његовој способности да се повеже на нову Ц2 адресу, пружајући му отпорност на покушаје уклањања – што га издваја од већине ДДоС ботнет малвера.

У светлу ових дешавања, стручњаци за сајбер безбедност препоручују администраторима МиСКЛ-а да буду на опрезу применом најновијих ажурирања и применом робусних безбедносних мера, као што је коришћење дугих и јединствених лозинки. Ово помаже у заштити администраторских налога од потенцијалне грубе силе и напада из речника.