僵尸网络
“Ddostf”恶意软件僵尸网络积极关注 MySQL 服务器,旨在将其劫持为 DDoS 即服务平台,将该平台的火力出租给其他网络犯罪分子。根据网络安全研究人员的调查结果,Ddostf 的运营者利用 MySQL 环境中尚未修补的漏洞,或对薄弱的管理员帐户凭据进行暴力攻击,以危害目标服务器。
Ddostf 僵尸网络背后的黑客利用合法功能
网络攻击者正在积极扫描互联网上暴露的 MySQL 服务器,并在识别后采用暴力技术来破坏它们。对于 Windows MySQL 服务器,威胁参与者利用称为用户定义函数 (UDF) 的功能在受感染的系统上执行命令。
UDF是MySQL的一项功能,允许用户用C或C++定义函数,将它们编译成DLL(动态链接库)文件以扩展数据库服务器的功能。在这种情况下,攻击者制作自己的UDF并将其注册到数据库服务器,将DLL文件命名为“amd.dll”并融入恶意功能,包括:
- 从远程服务器下载 Ddostf DDoS 机器人等有效负载。
- 执行攻击者发送的任意系统级命令。
- 捕获命令执行的结果,将其存储在临时文件中,然后将其发送回攻击者。
利用 UDF 作为加载攻击主要负载(Ddostf 僵尸客户端)的机制。然而,这种对 UDF 的滥用也为潜在安装其他恶意软件、数据泄露、建立持久访问后门以及各种其他恶意活动打开了大门。
Ddostf 僵尸网络可以连接到新的命令和控制 (C2) 地址
Ddostf 源自中国,是大约七年前出现的恶意软件僵尸网络,针对 Linux 和 Windows 系统。
渗透到 Windows 系统后,恶意软件通过在初始执行期间将自身注册为系统服务来确保持久性。随后,它解密其命令和控制 (C2) 配置以建立连接。然后,恶意软件会收集有关主机系统的信息,包括 CPU 频率、核心数量、语言详细信息、Windows 版本、网络速度等。该数据被传输到 C2 服务器。
C2服务器能够向僵尸网络客户端发出各种命令,从DDoS攻击指令(例如SYN Flood、UDP Flood和HTTP GET/POST Flood攻击)到请求停止传输系统状态信息,更改为新的 C2 地址,或下载并执行新的有效负载。 Ddostf 的独特功能在于它能够连接到新的 C2 地址,从而使其能够抵御删除尝试,从而使其与大多数 DDoS 僵尸网络恶意软件区分开来。
鉴于这些发展,网络安全专家建议 MySQL 管理员保持警惕,应用最新更新并实施强大的安全措施,例如使用长而独特的密码。这有助于保护管理员帐户免受潜在的暴力和字典攻击。
