Ddostf Botnet

Ang 'Ddostf' malware botnet ay aktibong tumutuon sa mga MySQL server, na naglalayong i-hijack ang mga ito para sa isang DDoS-as-a-Service platform na nagpapaupa ng firepower nito sa mga kapwa cybercriminal. Alinsunod sa mga natuklasan ng mga mananaliksik sa cybersecurity, sinasamantala ng mga operator ng Ddostf ang mga kahinaan sa mga kapaligiran ng MySQL na hindi pa nata-patch o gumagamit ng malupit na pag-atake sa mga mahinang kredensyal ng account ng administrator upang ikompromiso ang mga naka-target na server.

Ang mga Hacker sa Likod ng Ddostf Botnet ay Nagsasamantala sa Mga Lehitimong Paggana

Ang mga cyber attacker ay aktibong nag-i-scan sa Internet para sa mga nakalantad na MySQL server at, sa pagkakakilanlan, gumamit ng mga brute-force na diskarte upang labagin ang mga ito. Sa kaso ng mga server ng Windows MySQL, ginagamit ng mga threat actor ang isang feature na kilala bilang user-defined functions (UDFs) upang magsagawa ng mga command sa nakompromisong system.

Ang UDF ay isang feature ng MySQL na nagbibigay-daan sa mga user na tukuyin ang mga function sa C o C++, na kino-compile ang mga ito sa isang DLL (dynamic link library) na file upang palawigin ang mga kakayahan ng database server. Sa sitwasyong ito, ang mga umaatake ay gumagawa ng kanilang sariling mga UDF at ipinarehistro ang mga ito sa server ng database, pinangalanan ang DLL file na 'amd.dll' at isinasama ang mga nakakahamak na function, kabilang ang:

• Pag-download ng mga payload gaya ng Ddostf DDoS bot mula sa isang malayuang server.
• Pagpapatupad ng mga di-makatwirang utos sa antas ng system na ipinadala ng mga umaatake.
• Pagkuha ng mga resulta ng pagpapatupad ng utos, pag-iimbak ng mga ito sa isang pansamantalang file, at pagpapadala ng mga ito pabalik sa mga umaatake.

Ang pagsasamantala sa mga UDF ay nagsisilbing mekanismo para sa pag-load ng pangunahing kargamento ng pag-atake—ang Ddostf bot client. Gayunpaman, ang pang-aabusong ito sa mga UDF ay nagbubukas din ng pinto sa potensyal na pag-install ng iba pang malware, data exfiltration, pagtatatag ng mga backdoor para sa patuloy na pag-access, at iba't iba pang malisyosong aktibidad.

Ang Ddostf Botnet ay maaaring Kumonekta sa Bagong Command-and-Control (C2) Address

Nagmula sa China, ang Ddostf ay isang malware botnet na lumitaw mga pitong taon na ang nakakaraan, na nagta-target sa parehong Linux at Windows system.

Sa paglusot sa mga system ng Windows, tinitiyak ng malware ang pagtitiyaga sa pamamagitan ng pagrerehistro sa sarili bilang isang serbisyo ng system sa panahon ng paunang pagpapatupad nito. Kasunod nito, dine-decrypt nito ang configuration ng Command-and-Control (C2) nito upang makapagtatag ng koneksyon. Ang malware ay nangangalap ng impormasyon tungkol sa host system, kabilang ang dalas ng CPU, pangunahing bilang, mga detalye ng wika, bersyon ng Windows, bilis ng network, at higit pa. Ang data na ito ay ipinadala sa C2 server.

Ang C2 server ay may kakayahang mag-isyu ng iba't ibang command sa botnet client, mula sa mga tagubilin sa pag-atake ng DDoS (tulad ng SYN Flood, UDP Flood, at HTTP GET/POST Flood attacks) hanggang sa mga kahilingan para sa paghinto ng paghahatid ng impormasyon sa status ng system, pagbabago sa bagong C2 address, o pag-download at pagpapatupad ng bagong payload. Ang natatanging tampok ng Ddostf ay nakasalalay sa kakayahang kumonekta sa isang bagong C2 address, na nagbibigay dito ng katatagan laban sa mga pagtatangka sa pagtanggal—na inihiwalay ito sa karamihan ng DDoS botnet malware.

Kaugnay ng mga pag-unlad na ito, inirerekomenda ng mga eksperto sa cybersecurity na manatiling mapagbantay ang mga administrator ng MySQL sa pamamagitan ng paglalapat ng mga pinakabagong update at pagpapatupad ng mga matatag na hakbang sa seguridad, tulad ng paggamit ng mahaba at natatanging mga password. Nakakatulong itong pangalagaan ang mga admin account mula sa mga potensyal na brute force at pag-atake sa diksyunaryo.