Ddostf Botnet implementerer Attackf på MySQL-servere

'Ddostf'-botnettet fokuserer sin aktivitet på MySQL-servere med det formål at tage kontrol og tilbyde deres DDoS-funktioner som en service til andre cyberkriminelle.

Forskere ved AhnLab Security Emergency Response Center (ASEC) fandt denne trussel, mens de regelmæssigt tjekkede for farer rettet mod databaseservere. ASEC afslører, at Ddostfs operatører udnytter svagheder i MySQL-opsætninger, der ikke er blevet opdateret, eller forsøger at bryde ind ved at gætte svage adgangskoder til administratorkonti. De scanner aktivt internettet for udsatte MySQL-servere og forsøger at bryde dem ved at prøve forskellige administratorlegitimationsoplysninger.

For Windows MySQL-servere bruger angriberne en funktion kendt som brugerdefinerede funktioner (UDF'er) til at køre kommandoer på det kompromitterede system. UDF'er i MySQL lader brugere oprette funktioner i C eller C++ og kompilere dem til en DLL-fil, hvilket udvider databaseserverens muligheder.

I dette tilfælde opretter angriberne deres egne UDF'er og registrerer dem på databaseserveren som en DLL-fil (amd.dll) med ondsindede funktioner, herunder download af Ddostf DDoS bot-nyttelaster, udførelse af kommandoer på systemniveau og afsendelse af kommandoudførelsesresultater til angribere. Dette UDF-misbrug hjælper med at indlæse angrebets vigtigste nyttelast, Ddostf-botklienten, men det kan også potentielt føre til andre malware-installationer, datatyveri og skabe bagdøre for vedvarende adgang.

Oprindelsen af Ddostf Botnet

Ddostf, et malware-botnet med kinesisk oprindelse, der blev opdaget for omkring syv år siden, retter sig mod både Linux- og Windows-systemer. På Windows sikrer den vedholdenhed ved at udgive sig for at være en systemtjeneste under den første kørsel og derefter dekryptere dens kommando- og kontrolkonfiguration (C2) for at etablere en forbindelse. Malwaren indsamler oplysninger om værtssystemet, såsom CPU-detaljer, sprog, Windows-version og netværkshastighed, og sender disse data til sin C2.

C2-serveren kan derefter sende forskellige kommandoer til botnet-klienten, herunder forskellige typer DDoS-angreb, anmodninger om at stoppe med at sende systemstatusoplysninger, skifte til en ny C2-adresse eller downloade og udføre en ny nyttelast. ASEC bemærker, at Ddostfs evne til at oprette forbindelse til en ny C2-adresse adskiller den fra de fleste DDoS-botnet-malware, hvilket gør den mere modstandsdygtig over for fjernelser.

For at beskytte mod disse trusler anbefaler cybersikkerhedsfirmaet MySQL-administratorer at holde deres systemer opdaterede og bruge lange, unikke adgangskoder til at beskytte mod brute force og ordbogsangreb.