Flerlicensrabatter
Threat Database Botnets Ddostf Botnet

Ddostf Botnet

Med Mezo år Botnets
Översätt till:
Svenska

"Ddostf"-botnätet för skadlig programvara fokuserar aktivt på MySQL-servrar, i syfte att kapa dem för en DDoS-as-a-Service-plattform som hyr ut sin eldkraft till andra cyberkriminella. Enligt cybersäkerhetsforskares resultat utnyttjar operatörerna av Ddostf sårbarheter i MySQL-miljöer som inte har korrigerats eller använder brute-force-attacker på svaga administratörskontouppgifter för att äventyra de riktade servrarna.

Hackarna bakom Ddostf Botnet utnyttjar legitima funktioner

Cyberangripare söker aktivt på Internet efter exponerade MySQL-servrar och, vid identifiering, använder de brute-force-tekniker för att bryta mot dem. När det gäller Windows MySQL-servrar använder hotaktörer en funktion som kallas användardefinierade funktioner (UDF) för att utföra kommandon på det komprometterade systemet.

UDF är en MySQL-funktion som gör det möjligt för användare att definiera funktioner i C eller C++, kompilera dem till en DLL-fil (dynamic link library) för att utöka databasserverns möjligheter. I det här scenariot skapar angripare sina egna UDF:er och registrerar dem på databasservern, döper DLL-filen till 'amd.dll' och innehåller skadliga funktioner, inklusive:

  • Ladda ner nyttolaster som Ddostf DDoS-bot från en fjärrserver.
  • Exekvera godtyckliga kommandon på systemnivå som skickats av angriparna.
  • Fånga resultatet av kommandoexekveringen, lagra dem i en temporär fil och skicka tillbaka dem till angriparna.

Att utnyttja UDF:er fungerar som en mekanism för att ladda den primära nyttolasten för attacken – Ddostf-botklienten. Men detta missbruk av UDF:er öppnar också dörren till potentiell installation av annan skadlig programvara, dataexfiltrering, etablering av bakdörrar för ihållande åtkomst och diverse andra skadliga aktiviteter.

Ddostf Botnet kan ansluta till nya kommando-och-kontroll-adresser (C2).

Ddostf kommer från Kina och är ett botnät för skadlig programvara som dök upp för cirka sju år sedan och riktar sig till både Linux- och Windows-system.

När den infiltrerar Windows-system säkerställer skadlig programvara beständighet genom att registrera sig själv som en systemtjänst under den första exekveringen. Därefter dekrypterar den sin Command-and-Control-konfiguration (C2) för att upprätta en anslutning. Skadlig programvara samlar sedan in information om värdsystemet, inklusive CPU-frekvens, kärnantal, språkdetaljer, Windows-version, nätverkshastighet och mer. Dessa data överförs till C2-servern.

C2-servern har förmågan att utfärda olika kommandon till botnätsklienten, allt från DDoS-attackinstruktioner (som SYN Flood, UDP Flood och HTTP GET/POST Flood-attacker) till förfrågningar om att avbryta överföringen av systemstatusinformation, ändring till en ny C2-adress, eller ladda ner och köra en ny nyttolast. Ddostfs unika funktion ligger i dess förmåga att ansluta till en ny C2-adress, vilket ger den motståndskraft mot borttagningsförsök – skiljer den från majoriteten av DDoS-botnätets skadliga program.

I ljuset av denna utveckling rekommenderar cybersäkerhetsexperter att MySQL-administratörer håller sig vaksamma genom att tillämpa de senaste uppdateringarna och implementera robusta säkerhetsåtgärder, som att använda långa och unika lösenord. Detta hjälper till att skydda administratörskonton från potentiella brute force och ordboksattacker.

Trendigt

Mest sedda

Läser in...