殭屍網路

「Ddostf」惡意軟體殭屍網路積極關注 MySQL 伺服器，旨在將其劫持為 DDoS 即服務平台，將該平台的火力出租給其他網路犯罪分子。根據網路安全研究人員的調查結果，Ddostf 的經營者利用 MySQL 環境中尚未修補的漏洞，或對薄弱的管理員帳戶憑證進行暴力攻擊，以危害目標伺服器。

Ddostf 殭屍網路背後的駭客利用合法功能

網路攻擊者正在積極掃描網路上暴露的 MySQL 伺服器，並在識別後採用暴力技術來破壞它們。對於 Windows MySQL 伺服器，威脅參與者利用稱為使用者定義函數 (UDF) 的功能在受感染的系統上執行命令。

UDF是MySQL的一項功能，允許使用者用C或C++定義函數，將它們編譯成DLL（動態連結庫）檔案以擴展資料庫伺服器的功能。在這種情況下，攻擊者製作自己的UDF並將其註冊到資料庫伺服器，將DLL檔案命名為「amd.dll」並融入惡意功能，包括：

• 從遠端伺服器下載 Ddostf DDoS 機器人等有效負載。
• 執行攻擊者發送的任意系統級命令。
• 捕獲命令執行的結果，將其儲存在臨時檔案中，然後將其發送回攻擊者。

利用 UDF 作為載入攻擊主要負載（Ddostf 殭屍客戶端）的機制。然而，這種對 UDF 的濫用也為潛在安裝其他惡意軟體、資料外洩、建立持久存取後門以及各種其他惡意活動打開了大門。

Ddostf 殭屍網路可以連接到新的命令和控制 (C2) 位址

Ddostf 源自中國，是大約七年前出現的惡意軟體殭屍網絡，針對 Linux 和 Windows 系統。

滲透到 Windows 系統後，惡意軟體透過在初始執行期間將自身註冊為系統服務來確保持久性。隨後，它解密其命令和控制 (C2) 配置以建立連線。然後，惡意軟體會收集有關主機系統的信息，包括 CPU 頻率、核心數量、語言詳細資訊、Windows 版本、網路速度等。此資料傳輸到 C2 伺服器。

C2伺服器能夠向殭屍網路用戶端發出各種命令，從DDoS攻擊指令（例如SYN Flood、UDP Flood和HTTP GET/POST Flood攻擊）到請求停止傳輸系統狀態信息，更改為新的C2 位址，或下載並執行新的有效負載。 Ddostf 的獨特功能在於它能夠連接到新的 C2 位址，從而使其能夠抵禦刪除嘗試，從而使其與大多數 DDoS 殭屍網路惡意軟體區分開來。

鑑於這些發展，網路安全專家建議 MySQL 管理員保持警惕，應用最新更新並實施強大的安全措施，例如使用長而獨特的密碼。這有助於保護管理員帳戶免受潛在的暴力和字典攻擊。