Botnet Ddostf déployant Attackf sur les serveurs MySQL
Le botnet « Ddostf » concentre son activité sur les serveurs MySQL dans le but d'en prendre le contrôle et d'offrir leurs capacités DDoS en tant que service à d'autres cybercriminels.
Les chercheurs de l'AhnLab Security Emergency Response Center (ASEC) ont découvert cette menace en vérifiant régulièrement les dangers ciblant les serveurs de bases de données. L'ASEC révèle que les opérateurs de Ddostf exploitent les faiblesses des configurations MySQL qui n'ont pas été mises à jour ou tentent de s'introduire en devinant les mots de passe faibles des comptes d'administrateur. Ils analysent activement Internet à la recherche de serveurs MySQL exposés, tentant de les pirater en essayant diverses informations d'identification d'administrateur.
Pour les serveurs Windows MySQL, les attaquants utilisent une fonctionnalité connue sous le nom de fonctions définies par l'utilisateur (UDF) pour exécuter des commandes sur le système compromis. Les UDF dans MySQL permettent aux utilisateurs de créer des fonctions en C ou C++ et de les compiler dans un fichier DLL, élargissant ainsi les capacités du serveur de base de données.
Dans ce cas, les attaquants créent leurs propres UDF et les enregistrent auprès du serveur de base de données en tant que fichier DLL (amd.dll) avec des fonctions malveillantes, notamment le téléchargement des charges utiles du robot DDoS Ddostf, l'exécution de commandes au niveau du système et l'envoi des résultats d'exécution des commandes au système. attaquants. Cet abus d'UDF aide à charger la charge utile principale de l'attaque, le client bot Ddostf, mais il pourrait également potentiellement conduire à l'installation d'autres logiciels malveillants, au vol de données et à la création de portes dérobées pour un accès persistant.
Origines du botnet Ddostf
Ddostf, un botnet de logiciels malveillants d'origine chinoise détecté il y a environ sept ans, cible à la fois les systèmes Linux et Windows. Sous Windows, il assure la persistance en se faisant passer pour un service système lors de son exécution initiale, puis décrypte sa configuration de commande et de contrôle (C2) pour établir une connexion. Le malware collecte des informations sur le système hôte, telles que les détails du processeur, la langue, la version de Windows et la vitesse du réseau, en envoyant ces données à son C2.
Le serveur C2 peut ensuite envoyer diverses commandes au client botnet, notamment différents types d'attaques DDoS, des demandes d'arrêt de l'envoi d'informations sur l'état du système, le passage à une nouvelle adresse C2 ou le téléchargement et l'exécution d'une nouvelle charge utile. L'ASEC note que la capacité de Ddostf à se connecter à une nouvelle adresse C2 le distingue de la plupart des logiciels malveillants de type botnet DDoS, ce qui le rend plus résistant aux retraits.
Pour se prémunir contre ces menaces, la société de cybersécurité recommande aux administrateurs MySQL de maintenir leurs systèmes à jour et d'utiliser des mots de passe longs et uniques pour se protéger contre les attaques par force brute et par dictionnaire.