Botnet Ddostf che distribuisce Attackf sui server MySQL
La botnet "Ddostf" concentra la sua attività sui server MySQL con l'obiettivo di prenderne il controllo e offrire le proprie capacità DDoS come servizio ad altri criminali informatici.
I ricercatori dell’AhnLab Security Emergency Response Center (ASEC) hanno rilevato questa minaccia controllando regolarmente i pericoli che colpiscono i server di database. L'ASEC rivela che gli operatori di Ddostf sfruttano i punti deboli delle configurazioni MySQL che non sono state aggiornate o tentano di penetrare indovinando le password deboli degli account amministratore. Eseguono attivamente la scansione di Internet alla ricerca di server MySQL esposti, tentando di violarli provando varie credenziali di amministratore.
Per i server Windows MySQL, gli aggressori utilizzano una funzionalità nota come funzioni definite dall'utente (UDF) per eseguire comandi sul sistema compromesso. Le UDF in MySQL consentono agli utenti di creare funzioni in C o C++ e compilarle in un file DLL, espandendo le capacità del server database.
In questo caso, gli aggressori creano le proprie UDF e le registrano nel server database come file DLL (amd.dll) con funzioni dannose, incluso il download di payload bot Ddostf DDoS, l'esecuzione di comandi a livello di sistema e l'invio dei risultati dell'esecuzione dei comandi al sistema. aggressori. Questo abuso dell’UDF aiuta a caricare il carico utile principale dell’attacco, il client bot Ddostf, ma potrebbe anche portare potenzialmente ad altre installazioni di malware, al furto di dati e alla creazione di backdoor per l’accesso persistente.
Origini della botnet Ddostf
Ddostf, una botnet malware di origine cinese rilevata circa sette anni fa, prende di mira sia i sistemi Linux che Windows. Su Windows, garantisce la persistenza presentandosi come servizio di sistema durante la sua esecuzione iniziale e quindi decrittografa la sua configurazione di comando e controllo (C2) per stabilire una connessione. Il malware raccoglie informazioni sul sistema host, come dettagli della CPU, lingua, versione di Windows e velocità della rete, inviando questi dati al suo C2.
Il server C2 può quindi inviare vari comandi al client botnet, inclusi diversi tipi di attacchi DDoS, richieste di interrompere l'invio di informazioni sullo stato del sistema, il passaggio a un nuovo indirizzo C2 o il download e l'esecuzione di un nuovo payload. ASEC rileva che la capacità di Ddostf di connettersi a un nuovo indirizzo C2 lo distingue dalla maggior parte dei malware botnet DDoS, rendendolo più resistente alle eliminazioni.
Per proteggersi da queste minacce, la società di sicurezza informatica consiglia agli amministratori MySQL di mantenere aggiornati i propri sistemi e di utilizzare password lunghe e univoche per proteggersi dalla forza bruta e dagli attacchi del dizionario.
