Ddostf Botnet Ανάπτυξη Attackf σε διακομιστές MySQL

Το botnet «Ddostf» εστιάζει τη δραστηριότητά του σε διακομιστές MySQL με στόχο να πάρει τον έλεγχο και να προσφέρει τις δυνατότητές τους DDoS ως υπηρεσία σε άλλους εγκληματίες του κυβερνοχώρου.

Ερευνητές στο Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης της Ασφάλειας AhnLab (ASEC) εντόπισαν αυτήν την απειλή ενώ έλεγχαν τακτικά για κινδύνους που στοχεύουν διακομιστές βάσεων δεδομένων. Η ASEC αποκαλύπτει ότι οι χειριστές του Ddostf εκμεταλλεύονται αδυναμίες στις ρυθμίσεις της MySQL που δεν έχουν ενημερωθεί ή προσπαθούν να εισβάλουν μαντεύοντας αδύναμους κωδικούς πρόσβασης λογαριασμών διαχειριστή. Σαρώνουν ενεργά το Διαδίκτυο για εκτεθειμένους διακομιστές MySQL, προσπαθώντας να τους παραβιάσουν δοκιμάζοντας διάφορα διαπιστευτήρια διαχειριστή.

Για διακομιστές Windows MySQL, οι εισβολείς χρησιμοποιούν μια δυνατότητα γνωστή ως συναρτήσεις που καθορίζονται από το χρήστη (UDF) για την εκτέλεση εντολών στο παραβιασμένο σύστημα. Τα UDF στη MySQL επιτρέπουν στους χρήστες να δημιουργούν συναρτήσεις σε C ή C++ και να τις μεταγλωττίζουν σε ένα αρχείο DLL, επεκτείνοντας τις δυνατότητες του διακομιστή βάσης δεδομένων.

Σε αυτήν την περίπτωση, οι εισβολείς δημιουργούν τα δικά τους UDF και τα καταχωρούν στον διακομιστή βάσης δεδομένων ως αρχείο DLL (amd.dll) με κακόβουλες λειτουργίες, όπως η λήψη ωφέλιμων φορτίων Ddostf DDoS, η εκτέλεση εντολών σε επίπεδο συστήματος και η αποστολή αποτελεσμάτων εκτέλεσης εντολών στο επιτιθέμενοι. Αυτή η κατάχρηση UDF βοηθά στη φόρτωση του κύριου ωφέλιμου φορτίου της επίθεσης, του προγράμματος-πελάτη Ddostf bot, αλλά μπορεί επίσης να οδηγήσει σε άλλες εγκαταστάσεις κακόβουλου λογισμικού, κλοπή δεδομένων και δημιουργία θυρών για μόνιμη πρόσβαση.

Προέλευση του Ddostf Botnet

Το Ddostf, ένα botnet κακόβουλου λογισμικού κινεζικής προέλευσης που εντοπίστηκε πριν από περίπου επτά χρόνια, στοχεύει τόσο συστήματα Linux όσο και Windows. Στα Windows, διασφαλίζει την επιμονή παρουσιάζοντας ως υπηρεσία συστήματος κατά την αρχική του εκτέλεση και στη συνέχεια αποκρυπτογραφεί τη διαμόρφωση εντολών και ελέγχου (C2) για να δημιουργήσει μια σύνδεση. Το κακόβουλο λογισμικό συλλέγει πληροφορίες σχετικά με το κεντρικό σύστημα, όπως λεπτομέρειες CPU, γλώσσα, έκδοση Windows και ταχύτητα δικτύου, στέλνοντας αυτά τα δεδομένα στο C2 του.

Ο διακομιστής C2 μπορεί στη συνέχεια να στείλει διάφορες εντολές στον υπολογιστή-πελάτη botnet, συμπεριλαμβανομένων διαφορετικών τύπων επιθέσεων DDoS, αιτημάτων για διακοπή αποστολής πληροφοριών κατάστασης συστήματος, εναλλαγή σε μια νέα διεύθυνση C2 ή λήψη και εκτέλεση νέου ωφέλιμου φορτίου. Η ASEC σημειώνει ότι η ικανότητα του Ddostf να συνδέεται με μια νέα διεύθυνση C2 το ξεχωρίζει από τα περισσότερα κακόβουλα προγράμματα botnet DDoS, καθιστώντας το πιο ανθεκτικό σε καταργήσεις.

Για να προστατευτεί από αυτές τις απειλές, η εταιρεία κυβερνοασφάλειας συνιστά στους διαχειριστές της MySQL να ενημερώνουν τα συστήματά τους και να χρησιμοποιούν μεγάλους, μοναδικούς κωδικούς πρόσβασης για προστασία από επιθέσεις ωμής βίας και λεξικών.