Ботнет Ddostf

Ботнет зловмисного програмного забезпечення «Ddostf» активно зосереджується на серверах MySQL, прагнучи захопити їх для платформи DDoS як послуги, яка орендує свою вогневу міць іншим кіберзлочинцям. Відповідно до висновків дослідників кібербезпеки, оператори Ddostf використовують уразливості в середовищах MySQL, які не були виправлені, або застосовують атаки грубої сили на слабкі облікові дані облікового запису адміністратора, щоб скомпрометувати цільові сервери.

Хакери, які стоять за ботнетом Ddostf, використовують легітимні функції

Кібер-зловмисники активно сканують Інтернет на пошук відкритих серверів MySQL і, ідентифікувавши їх, використовують методи грубої сили, щоб зламати їх. У випадку серверів Windows MySQL суб’єкти загрози використовують функцію, відому як визначені користувачем функції (UDF), для виконання команд у скомпрометованій системі.

UDF — це функція MySQL, яка дозволяє користувачам визначати функції на C або C++, компілюючи їх у файл DLL (бібліотека динамічних посилань), щоб розширити можливості сервера бази даних. У цьому сценарії зловмисники створюють власні UDF і реєструють їх на сервері бази даних, називаючи файл DLL «amd.dll» і включаючи шкідливі функції, зокрема:

• Завантаження корисних даних, таких як DDoS-бот Ddostf, з віддаленого сервера.
• Виконання довільних команд системного рівня, надісланих зловмисниками.
• Фіксація результатів виконання команд, збереження їх у тимчасовому файлі та надсилання назад зловмисникам.

Експлуатація UDF служить механізмом для завантаження основного корисного навантаження атаки — бот-клієнта Ddostf. Однак це зловживання UDF також відкриває двері для потенційного встановлення іншого зловмисного програмного забезпечення, викрадання даних, створення бекдорів для постійного доступу та різноманітних інших шкідливих дій.

Ботнет Ddostf може підключатися до нових адрес командування та керування (C2).

Походить із Китаю, Ddostf — це ботнет зловмисного програмного забезпечення, який виник близько семи років тому, націлений як на системи Linux, так і на Windows.

Після проникнення в системи Windows зловмисне програмне забезпечення забезпечує стійкість, реєструючись як системна служба під час початкового виконання. Згодом він розшифровує свою конфігурацію Command-and-Control (C2), щоб встановити з’єднання. Потім зловмисне програмне забезпечення збирає інформацію про хост-систему, включаючи частоту ЦП, кількість ядер, відомості про мову, версію Windows, швидкість мережі тощо. Ці дані передаються на сервер C2.

Сервер C2 має можливість видавати різноманітні команди клієнту ботнету, починаючи від інструкцій DDoS-атаки (таких як атаки SYN Flood, UDP Flood і HTTP GET/POST Flood) до запитів на припинення передачі інформації про стан системи, зміни на нову адресу C2 або завантаження та виконання нового корисного навантаження. Унікальна функція Ddostf полягає в його здатності підключатися до нової адреси C2, забезпечуючи його стійкість проти спроб видалення, що відрізняє його від більшості шкідливих програм DDoS-ботнетів.

У світлі цих подій експерти з кібербезпеки рекомендують адміністраторам MySQL залишатися пильними, застосовуючи останні оновлення та впроваджуючи надійні заходи безпеки, такі як використання довгих унікальних паролів. Це допомагає захистити облікові записи адміністратора від потенційних атак грубої сили та словникових атак.