Ddostf-Botnet führt Attackf auf MySQL-Servern aus
Das „Ddostf“-Botnetz konzentriert seine Aktivitäten auf MySQL-Server mit dem Ziel, die Kontrolle zu übernehmen und deren DDoS-Fähigkeiten anderen Cyberkriminellen als Dienst anzubieten.
Forscher des AhnLab Security Emergency Response Center (ASEC) haben diese Bedrohung entdeckt, als sie regelmäßig nach Gefahren für Datenbankserver suchten. ASEC enthüllt, dass die Ddostf-Betreiber Schwachstellen in nicht aktualisierten MySQL-Setups ausnutzen oder versuchen, einzudringen, indem sie schwache Passwörter von Administratorkonten erraten. Sie scannen das Internet aktiv nach exponierten MySQL-Servern und versuchen, diese durch Ausprobieren verschiedener Administrator-Anmeldeinformationen zu knacken.
Bei Windows-MySQL-Servern nutzen die Angreifer eine Funktion namens benutzerdefinierte Funktionen (UDFs), um Befehle auf dem kompromittierten System auszuführen. Mit UDFs in MySQL können Benutzer Funktionen in C oder C++ erstellen und diese in eine DLL-Datei kompilieren, wodurch die Funktionen des Datenbankservers erweitert werden.
In diesem Fall erstellen die Angreifer ihre eigenen UDFs und registrieren sie beim Datenbankserver als DLL-Datei (amd.dll) mit bösartigen Funktionen, einschließlich dem Herunterladen von Ddostf-DDoS-Bot-Payloads, der Ausführung von Befehlen auf Systemebene und dem Senden von Ergebnissen der Befehlsausführung an den Angreifer. Dieser UDF-Missbrauch trägt dazu bei, die Hauptnutzlast des Angriffs, den Ddostf-Bot-Client, zu laden, könnte aber möglicherweise auch zu anderen Malware-Installationen, Datendiebstahl und der Schaffung von Hintertüren für dauerhaften Zugriff führen.
Ursprünge des Ddostf-Botnetzes
Ddostf, ein Malware-Botnetz chinesischen Ursprungs, das vor etwa sieben Jahren entdeckt wurde, zielt sowohl auf Linux- als auch auf Windows-Systeme ab. Unter Windows stellt es die Persistenz sicher, indem es sich bei seiner ersten Ausführung als Systemdienst ausgibt und dann seine Befehls- und Steuerungskonfiguration (C2) entschlüsselt, um eine Verbindung herzustellen. Die Malware sammelt Informationen über das Hostsystem, wie CPU-Details, Sprache, Windows-Version und Netzwerkgeschwindigkeit, und sendet diese Daten an ihren C2.
Der C2-Server kann dann verschiedene Befehle an den Botnet-Client senden, darunter verschiedene Arten von DDoS-Angriffen, Anfragen zum Stoppen des Sendens von Systemstatusinformationen, den Wechsel zu einer neuen C2-Adresse oder das Herunterladen und Ausführen einer neuen Nutzlast. ASEC weist darauf hin, dass sich Ddostf durch die Fähigkeit, eine Verbindung zu einer neuen C2-Adresse herzustellen, von den meisten DDoS-Botnet-Malware unterscheidet und dadurch widerstandsfähiger gegenüber Takedowns ist.
Um sich vor diesen Bedrohungen zu schützen, empfiehlt das Cybersicherheitsunternehmen MySQL-Administratoren, ihre Systeme auf dem neuesten Stand zu halten und lange, eindeutige Passwörter zum Schutz vor Brute-Force- und Wörterbuchangriffen zu verwenden.