ดดอสท์ฟ บอตเน็ต

บอตเน็ตมัลแวร์ 'Ddostf' กำลังมุ่งเน้นไปที่เซิร์ฟเวอร์ MySQL โดยมีเป้าหมายที่จะแย่งชิงเซิร์ฟเวอร์เหล่านี้สำหรับแพลตฟอร์ม DDoS-as-a-Service ที่จะเช่าอำนาจการยิงให้กับอาชญากรไซเบอร์ ตามการค้นพบของนักวิจัยด้านความปลอดภัยทางไซเบอร์ ผู้ปฏิบัติงานของ Ddostf ใช้ประโยชน์จากช่องโหว่ในสภาพแวดล้อม MySQL ที่ไม่ได้รับการแพตช์ หรือใช้การโจมตีแบบดุร้ายกับข้อมูลประจำตัวบัญชีผู้ดูแลระบบที่ไม่รัดกุมเพื่อประนีประนอมเซิร์ฟเวอร์เป้าหมาย

แฮกเกอร์ที่อยู่เบื้องหลัง Ddostf Botnet ใช้ประโยชน์จากฟังก์ชันที่ถูกต้องตามกฎหมาย

ผู้โจมตีทางไซเบอร์กำลังสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ MySQL ที่ถูกเปิดเผย และเมื่อระบุตัวตนได้ จะใช้เทคนิคแบบเดรัจฉานเพื่อเจาะข้อมูลเหล่านั้น ในกรณีของเซิร์ฟเวอร์ Windows MySQL ผู้ดำเนินการภัยคุกคามจะใช้คุณลักษณะที่เรียกว่าฟังก์ชันที่ผู้ใช้กำหนด (UDF) เพื่อดำเนินการคำสั่งบนระบบที่ถูกบุกรุก

UDF เป็นคุณสมบัติ MySQL ที่ช่วยให้ผู้ใช้สามารถกำหนดฟังก์ชั่นใน C หรือ C++ โดยรวบรวมเป็นไฟล์ DLL (ไลบรารีลิงก์แบบไดนามิก) เพื่อขยายขีดความสามารถของเซิร์ฟเวอร์ฐานข้อมูล ในสถานการณ์สมมตินี้ ผู้โจมตีสร้าง UDF ของตนเองและลงทะเบียนกับเซิร์ฟเวอร์ฐานข้อมูล โดยตั้งชื่อไฟล์ DLL ว่า 'amd.dll' และรวมเอาฟังก์ชันที่เป็นอันตราย ซึ่งรวมถึง:

• การดาวน์โหลดเพย์โหลด เช่น บอต Ddostf DDoS จากเซิร์ฟเวอร์ระยะไกล
• ดำเนินการคำสั่งระดับระบบตามอำเภอใจที่ส่งโดยผู้โจมตี
• จับผลลัพธ์ของการดำเนินการคำสั่ง เก็บไว้ในไฟล์ชั่วคราว และส่งกลับไปยังผู้โจมตี

การใช้ UDF ทำหน้าที่เป็นกลไกในการโหลดเพย์โหลดหลักของการโจมตี ซึ่งก็คือไคลเอ็นต์บอท Ddostf อย่างไรก็ตาม การใช้ UDF ในทางที่ผิดนี้ยังเปิดประตูสู่การติดตั้งมัลแวร์อื่น ๆ การขโมยข้อมูล การสร้างแบ็คดอร์สำหรับการเข้าถึงอย่างต่อเนื่อง และกิจกรรมที่เป็นอันตรายอื่น ๆ อีกมากมาย

Ddostf Botnet สามารถเชื่อมต่อกับที่อยู่ Command-and-Control (C2) ใหม่ได้

Ddostf เป็นบอตเน็ตมัลแวร์ที่มีต้นกำเนิดมาจากประเทศจีน ซึ่งเกิดขึ้นเมื่อประมาณเจ็ดปีที่แล้ว โดยมีเป้าหมายทั้งระบบ Linux และ Windows

เมื่อแทรกซึมระบบ Windows มัลแวร์จะรับประกันความคงอยู่โดยการลงทะเบียนตัวเองเป็นบริการระบบระหว่างการดำเนินการครั้งแรก จากนั้นจะถอดรหัสการกำหนดค่า Command-and-Control (C2) เพื่อสร้างการเชื่อมต่อ จากนั้นมัลแวร์จะรวบรวมข้อมูลเกี่ยวกับระบบโฮสต์ รวมถึงความถี่ของ CPU จำนวนคอร์ รายละเอียดภาษา เวอร์ชัน Windows ความเร็วเครือข่าย และอื่นๆ ข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ C2

เซิร์ฟเวอร์ C2 มีความสามารถในการออกคำสั่งต่างๆ ไปยังไคลเอนต์บอตเน็ต ตั้งแต่คำสั่งการโจมตี DDoS (เช่น การโจมตี SYN Flood, UDP Flood และการโจมตี HTTP GET/POST Flood) ไปจนถึงคำขอให้หยุดการส่งข้อมูลสถานะของระบบ เปลี่ยนเป็น ที่อยู่ C2 ใหม่ หรือการดาวน์โหลดและดำเนินการเพย์โหลดใหม่ คุณลักษณะเฉพาะของ Ddostf อยู่ที่ความสามารถในการเชื่อมต่อกับที่อยู่ C2 ใหม่ ซึ่งให้ความยืดหยุ่นต่อการพยายามลบออก ทำให้แตกต่างจากมัลแวร์บอตเน็ต DDoS ส่วนใหญ่

ในแง่ของการพัฒนาเหล่านี้ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำให้ผู้ดูแลระบบ MySQL ระมัดระวังโดยการใช้การอัปเดตล่าสุดและใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่ง เช่น การใช้รหัสผ่านที่ยาวและไม่ซ้ำกัน สิ่งนี้จะช่วยปกป้องบัญชีผู้ดูแลระบบจากการโจมตีด้วยกำลังและพจนานุกรมที่อาจเกิดขึ้น