Ddostf Botnet Attackf telepítése MySQL szervereken
A „Ddostf” botnet tevékenységét a MySQL szerverekre összpontosítja azzal a céllal, hogy átvegye az irányítást, és szolgáltatásként kínálja fel DDoS képességeiket más kiberbűnözőknek.
Az AhnLab Security Emergency Response Center (ASEC) kutatói úgy találták meg ezt a fenyegetést, hogy rendszeresen ellenőrizték az adatbázis-kiszolgálókat célzó veszélyeket. Az ASEC feltárja, hogy a Ddostf operátorai kihasználják a nem frissített MySQL-beállítások gyengeségeit, vagy megpróbálnak betörni a rendszergazdai fiókok gyenge jelszavainak kitalálásával. Aktívan keresik az internetet kiszolgáltatott MySQL-kiszolgálók után, és különféle rendszergazdai hitelesítési adatokkal próbálják feltörni őket.
A Windows MySQL-kiszolgálók esetében a támadók a felhasználó által definiált függvények (UDF) nevű szolgáltatást használják a parancsok futtatására a feltört rendszeren. Az UDF-ek a MySQL-ben lehetővé teszik a felhasználók számára, hogy függvényeket hozzanak létre C vagy C++ nyelven, és fordítsák le azokat DLL-fájlba, kibővítve az adatbázis-kiszolgáló képességeit.
Ebben az esetben a támadók létrehozzák saját UDF-eiket, és DLL-fájlként (amd.dll) regisztrálják azokat az adatbázis-kiszolgálón, amely rosszindulatú funkciókat tartalmaz, beleértve a Ddostf DDoS bot rakományok letöltését, a rendszerszintű parancsok végrehajtását és a parancsvégrehajtási eredmények elküldését a támadók. Ez az UDF visszaélés segít a támadás fő hasznos terhének, a Ddostf botkliensnek a betöltésében, de potenciálisan más rosszindulatú programok telepítéséhez, adatlopáshoz és hátsó ajtók létrehozásához is vezethet a tartós hozzáféréshez.
A Ddostf botnet eredete
A Ddostf, egy kínai eredetű rosszindulatú botnet, amelyet körülbelül hét évvel ezelőtt észleltek, mind Linux, mind Windows rendszereket céloz meg. Windows rendszeren az állandó működést úgy biztosítja, hogy a kezdeti futtatás során rendszerszolgáltatásnak adja ki magát, majd visszafejti a parancs- és vezérlőkonfigurációt (C2) a kapcsolat létrehozásához. A rosszindulatú program információkat gyűjt a gazdagépről, például a CPU részleteiről, a nyelvről, a Windows verziójáról és a hálózati sebességről, és elküldi ezeket az adatokat a C2-nek.
A C2-kiszolgáló ezután különféle parancsokat küldhet a botnet-kliensnek, beleértve a különböző típusú DDoS-támadásokat, a rendszerállapot-információk küldésének leállítására vonatkozó kéréseket, új C2-címre váltást vagy új hasznos adat letöltését és végrehajtását. Az ASEC megjegyzi, hogy a Ddostf új C2-címhez való csatlakozási képessége megkülönbözteti a legtöbb DDoS botnet rosszindulatú programtól, így ellenállóbbá teszi az eltávolításokkal szemben.
A fenyegetések elleni védelem érdekében a kiberbiztonsági vállalat azt javasolja a MySQL-adminisztrátoroknak, hogy tartsák naprakészen rendszereiket, és hosszú, egyedi jelszavakat használjanak a brutális erőszak és a szótári támadások elleni védelem érdekében.