Ddostf Botnet diegia Attackf MySQL serveriuose
„Ddostf“ botnetas savo veiklą sutelkia į MySQL serverius, siekdamas perimti kontrolę ir pasiūlyti jų DDoS galimybes kaip paslaugą kitiems kibernetiniams nusikaltėliams.
„AhnLab Security Emergency Response Center“ (ASEC) tyrėjai šią grėsmę aptiko reguliariai tikrindami, ar nėra pavojų, nukreiptų į duomenų bazių serverius. ASEC atskleidžia, kad „Ddostf“ operatoriai išnaudoja „MySQL“ sąrankų trūkumus, kurios nebuvo atnaujintos, arba bando įsilaužti atspėdami silpnus administratoriaus paskyrų slaptažodžius. Jie aktyviai nuskaito internetą, ieškodami atvirų MySQL serverių, bandydami juos pažeisti bandydami įvairius administratoriaus kredencialus.
Windows MySQL serveriuose užpuolikai naudoja funkciją, vadinamą vartotojo apibrėžtomis funkcijomis (UDF), kad vykdytų komandas pažeistoje sistemoje. MySQL UDF leidžia vartotojams kurti funkcijas C arba C++ ir sukompiliuoti jas į DLL failą, išplečiant duomenų bazės serverio galimybes.
Tokiu atveju užpuolikai sukuria savo UDF ir registruoja juos duomenų bazės serveryje kaip DLL failą (amd.dll) su kenkėjiškomis funkcijomis, įskaitant Ddostf DDoS robotų naudingųjų apkrovų atsisiuntimą, sistemos lygio komandų vykdymą ir komandų vykdymo rezultatų siuntimą į užpuolikai. Šis piktnaudžiavimas UDF padeda įkelti pagrindinę atakos apkrovą – „Ddostf“ roboto klientą, bet taip pat gali sukelti kitų kenkėjiškų programų diegimą, duomenų vagystes ir nuolatinės prieigos galines duris.
„Ddostf Botnet“ ištakos
Ddostf, Kinijos kilmės kenkėjiškų programų botnetas, aptiktas maždaug prieš septynerius metus, skirtas tiek Linux, tiek Windows sistemoms. Sistemoje „Windows“ ji užtikrina atkaklumą, pradinio paleidimo metu prisistatydama kaip sistemos paslauga, o tada iššifruoja komandų ir valdymo (C2) konfigūraciją, kad užmegztų ryšį. Kenkėjiška programa renka informaciją apie pagrindinę sistemą, pvz., procesoriaus informaciją, kalbą, „Windows“ versiją ir tinklo greitį, siunčia šiuos duomenis į savo C2.
Tada C2 serveris gali siųsti įvairias komandas botneto klientui, įskaitant įvairių tipų DDoS atakas, užklausas nutraukti sistemos būsenos informacijos siuntimą, perjungti į naują C2 adresą arba atsisiųsti ir vykdyti naują naudingą apkrovą. ASEC pažymi, kad Ddostf galimybė prisijungti prie naujo C2 adreso išskiria jį iš daugumos DDoS botnet kenkėjiškų programų, todėl ji yra atsparesnė panaikinimams.
Siekdama apsisaugoti nuo šių grėsmių, kibernetinio saugumo įmonė rekomenduoja MySQL administratoriams nuolat atnaujinti savo sistemas ir naudoti ilgus, unikalius slaptažodžius, kad apsisaugotų nuo brutalios jėgos ir žodyno atakų.