Ddostf Botnet distribuerer Attackf på MySQL-servere

'Ddostf'-botnettet fokuserer sin aktivitet på MySQL-servere med sikte på å ta kontroll og tilby DDoS-funksjonene deres som en tjeneste til andre nettkriminelle.

Forskere ved AhnLab Security Emergency Response Center (ASEC) fant denne trusselen mens de jevnlig sjekket for farer rettet mot databaseservere. ASEC avslører at Ddostfs operatører utnytter svakheter i MySQL-oppsett som ikke er oppdatert eller prøver å bryte seg inn ved å gjette svake passord til administratorkontoer. De skanner aktivt internett etter utsatte MySQL-servere, og prøver å bryte dem ved å prøve forskjellige administratorlegitimasjoner.

For Windows MySQL-servere bruker angriperne en funksjon kjent som brukerdefinerte funksjoner (UDF) for å kjøre kommandoer på det kompromitterte systemet. UDF-er i MySQL lar brukere lage funksjoner i C eller C++ og kompilere dem til en DLL-fil, noe som utvider databaseserverens muligheter.

I dette tilfellet oppretter angriperne sine egne UDF-er og registrerer dem på databaseserveren som en DLL-fil (amd.dll) med ondsinnede funksjoner, inkludert nedlasting av Ddostf DDoS-bot-nyttelaster, utførelse av kommandoer på systemnivå og sending av kommandoutførelsesresultater til angripere. Dette UDF-misbruket hjelper til med å laste hovednyttelasten til angrepet, Ddostf bot-klienten, men det kan også potensielt føre til andre skadevareinstallasjoner, datatyveri og skape bakdører for vedvarende tilgang.

Opprinnelsen til Ddostf Botnet

Ddostf, et botnett for skadelig programvare med kinesisk opprinnelse som ble oppdaget for rundt syv år siden, retter seg mot både Linux- og Windows-systemer. På Windows sikrer den utholdenhet ved å posere som en systemtjeneste under den første kjøringen og deretter dekrypterer kommando- og kontrollkonfigurasjonen (C2) for å etablere en tilkobling. Skadevaren samler informasjon om vertssystemet, for eksempel CPU-detaljer, språk, Windows-versjon og nettverkshastighet, og sender disse dataene til C2.

C2-serveren kan deretter sende forskjellige kommandoer til botnet-klienten, inkludert forskjellige typer DDoS-angrep, forespørsler om å slutte å sende systemstatusinformasjon, bytte til en ny C2-adresse eller laste ned og utføre en ny nyttelast. ASEC bemerker at Ddostfs evne til å koble til en ny C2-adresse skiller den fra de fleste DDoS botnet-malware, noe som gjør den mer motstandsdyktig mot fjerning.

For å beskytte mot disse truslene anbefaler cybersikkerhetsselskapet MySQL-administratorer å holde systemene sine oppdaterte og bruke lange, unike passord for å beskytte mot brute force og ordbokangrep.