Ddostf Botnet

'Ddostf' kötü amaçlı yazılım botnet'i, aktif olarak MySQL sunucularına odaklanıyor ve onları, ateş gücünü diğer siber suçlulara kiralayan bir Hizmet Olarak DDoS platformu için ele geçirmeyi hedefliyor. Siber güvenlik araştırmacılarının bulgularına göre, Ddostf operatörleri, yama yapılmamış MySQL ortamlarındaki güvenlik açıklarından yararlanıyor veya hedeflenen sunucuları tehlikeye atmak için zayıf yönetici hesabı kimlik bilgilerine kaba kuvvet saldırıları uyguluyor.

Ddostf Botnet'in Arkasındaki Hackerlar Yasal İşlevleri İstismar Ediyor

Siber saldırganlar, açığa çıkan MySQL sunucularını bulmak için İnternet'i aktif olarak tarıyor ve tespit edildikten sonra bu sunucuları ihlal etmek için kaba kuvvet teknikleri kullanıyor. Windows MySQL sunucuları söz konusu olduğunda, tehdit aktörleri, güvenliği ihlal edilen sistemde komutları yürütmek için kullanıcı tanımlı işlevler (UDF'ler) olarak bilinen bir özellikten yararlanır.

UDF, kullanıcıların işlevleri C veya C++ dilinde tanımlamasına ve veritabanı sunucusunun yeteneklerini genişletmek için bunları bir DLL (dinamik bağlantı kitaplığı) dosyasında derlemesine olanak tanıyan bir MySQL özelliğidir. Bu senaryoda, saldırganlar kendi UDF'lerini oluşturur ve bunları veritabanı sunucusuna kaydeder, DLL dosyasını 'amd.dll' olarak adlandırır ve aşağıdakiler de dahil olmak üzere kötü amaçlı işlevler içerir:

• Uzak bir sunucudan Ddostf DDoS botu gibi yüklerin indirilmesi.
• Saldırganlar tarafından gönderilen sistem düzeyindeki rastgele komutların yürütülmesi.
• Komut yürütmenin sonuçlarının yakalanması, geçici bir dosyada saklanması ve saldırganlara geri gönderilmesi.

UDF'lerden yararlanmak, saldırının birincil yükünü (Ddostf bot istemcisi) yüklemek için bir mekanizma görevi görür. Bununla birlikte, UDF'lerin bu şekilde kötüye kullanılması, başka kötü amaçlı yazılımların olası kurulumuna, veri sızıntısına, kalıcı erişim için arka kapıların oluşturulmasına ve diğer çeşitli kötü amaçlı faaliyetlere de kapı açar.

Ddostf Botnet Yeni Komuta ve Kontrol (C2) Adreslerine Bağlanabiliyor

Çin kökenli Ddostf, yaklaşık yedi yıl önce ortaya çıkan ve hem Linux hem de Windows sistemlerini hedef alan kötü amaçlı bir botnettir.

Windows sistemlerine sızan kötü amaçlı yazılım, ilk çalıştırılması sırasında kendisini bir sistem hizmeti olarak kaydederek kalıcılığı sağlar. Daha sonra bağlantı kurmak için Komuta ve Kontrol (C2) yapılandırmasının şifresini çözer. Kötü amaçlı yazılım daha sonra ana sistem hakkında CPU frekansı, çekirdek sayısı, dil ayrıntıları, Windows sürümü, ağ hızı ve daha fazlası dahil olmak üzere bilgi toplar. Bu veriler C2 sunucusuna iletilir.

C2 sunucusu, DDoS saldırı talimatlarından (SYN Flood, UDP Flood ve HTTP GET/POST Flood saldırıları gibi) sistem durumu bilgilerinin iletiminin durdurulması, sistem durumu bilgilerinin iletiminin durdurulması taleplerine kadar botnet istemcisine çeşitli komutlar verme yeteneğine sahiptir. yeni bir C2 adresi veya yeni bir verinin indirilmesi ve çalıştırılması. Ddostf'un benzersiz özelliği, yeni bir C2 adresine bağlanarak onu kaldırma girişimlerine karşı dayanıklılık sağlaması ve onu DDoS botnet kötü amaçlı yazılımlarının çoğundan ayırmasıdır.

Bu gelişmelerin ışığında siber güvenlik uzmanları, MySQL yöneticilerinin en son güncellemeleri uygulayarak ve uzun ve benzersiz şifreler kullanmak gibi sağlam güvenlik önlemleri uygulayarak dikkatli olmalarını öneriyor. Bu, yönetici hesaplarının olası kaba kuvvet ve sözlük saldırılarına karşı korunmasına yardımcı olur.