Mạng botnet Ddostf

Mạng botnet phần mềm độc hại 'Ddostf' đang tích cực tập trung vào các máy chủ MySQL, nhằm mục đích chiếm quyền điều khiển chúng để lấy nền tảng DDoS-as-a-Service, cho tội phạm mạng thuê hỏa lực của nó. Theo phát hiện của các nhà nghiên cứu an ninh mạng, những kẻ điều hành Ddostf khai thác các lỗ hổng trong môi trường MySQL chưa được vá hoặc sử dụng các cuộc tấn công bạo lực vào thông tin xác thực tài khoản quản trị viên yếu để xâm phạm các máy chủ được nhắm mục tiêu.

Tin tặc đằng sau Ddostf Botnet khai thác các chức năng hợp pháp

Những kẻ tấn công mạng đang tích cực quét Internet để tìm các máy chủ MySQL bị lộ và sau khi nhận dạng được, sẽ sử dụng các kỹ thuật vũ phu để xâm phạm chúng. Trong trường hợp máy chủ Windows MySQL, kẻ tấn công sử dụng một tính năng được gọi là chức năng do người dùng xác định (UDF) để thực thi các lệnh trên hệ thống bị xâm nhập.

UDF là một tính năng của MySQL cho phép người dùng xác định các hàm trong C hoặc C++, biên dịch chúng thành tệp DLL (thư viện liên kết động) để mở rộng khả năng của máy chủ cơ sở dữ liệu. Trong trường hợp này, kẻ tấn công tạo UDF của riêng chúng và đăng ký chúng với máy chủ cơ sở dữ liệu, đặt tên tệp DLL là 'amd.dll' và kết hợp các chức năng độc hại, bao gồm:

• Tải xuống các tải trọng như bot Ddostf DDoS từ máy chủ từ xa.
• Thực thi các lệnh cấp hệ thống tùy ý do kẻ tấn công gửi.
• Ghi lại kết quả thực thi lệnh, lưu trữ chúng vào một tệp tạm thời và gửi lại cho kẻ tấn công.

Việc khai thác UDF đóng vai trò như một cơ chế để tải trọng tải chính của cuộc tấn công—máy khách bot Ddostf. Tuy nhiên, việc lạm dụng UDF này cũng mở ra cơ hội cho việc cài đặt phần mềm độc hại khác, đánh cắp dữ liệu, thiết lập các cửa sau để truy cập liên tục và nhiều hoạt động độc hại khác.

Botnet Ddostf có thể kết nối với các địa chỉ chỉ huy và kiểm soát (C2) mới

Có nguồn gốc từ Trung Quốc, Ddostf là một botnet phần mềm độc hại xuất hiện khoảng 7 năm trước, nhắm mục tiêu vào cả hệ thống Linux và Windows.

Khi xâm nhập vào hệ thống Windows, phần mềm độc hại đảm bảo khả năng tồn tại lâu dài bằng cách tự đăng ký dưới dạng dịch vụ hệ thống trong quá trình thực thi ban đầu. Sau đó, nó giải mã cấu hình Lệnh và Điều khiển (C2) để thiết lập kết nối. Sau đó, phần mềm độc hại thu thập thông tin về hệ thống máy chủ, bao gồm tần số CPU, số lượng lõi, chi tiết ngôn ngữ, phiên bản Windows, tốc độ mạng, v.v. Dữ liệu này được truyền đến máy chủ C2.

Máy chủ C2 có khả năng đưa ra nhiều lệnh khác nhau cho máy khách botnet, từ các hướng dẫn tấn công DDoS (chẳng hạn như các cuộc tấn công SYN Flood, UDP Flood và HTTP GET/POST Flood) cho đến các yêu cầu ngừng truyền thông tin trạng thái hệ thống, thay đổi thành địa chỉ C2 mới hoặc tải xuống và thực thi tải trọng mới. Tính năng độc đáo của Ddostf nằm ở khả năng kết nối với địa chỉ C2 mới, mang lại cho nó khả năng phục hồi trước các nỗ lực gỡ bỏ—làm cho nó khác biệt với phần lớn phần mềm độc hại của mạng botnet DDoS.

Trước những diễn biến này, các chuyên gia an ninh mạng khuyến nghị quản trị viên MySQL nên cảnh giác bằng cách áp dụng các bản cập nhật mới nhất và triển khai các biện pháp bảo mật mạnh mẽ, chẳng hạn như sử dụng mật khẩu dài và duy nhất. Điều này giúp bảo vệ tài khoản quản trị viên khỏi các cuộc tấn công từ điển và lực lượng vũ phu tiềm ẩn.