Ddostf Botnet Implementeert Attackf op MySQL-servers
Het 'Ddostf'-botnet concentreert zijn activiteiten op MySQL-servers met als doel de controle over te nemen en hun DDoS-mogelijkheden als een dienst aan andere cybercriminelen aan te bieden.
Onderzoekers van het AhnLab Security Emergency Response Center (ASEC) ontdekten deze bedreiging terwijl ze regelmatig controleerden op gevaren die gericht waren op databaseservers. ASEC onthult dat de operators van Ddostf misbruik maken van zwakke punten in MySQL-setups die niet zijn bijgewerkt, of proberen in te breken door zwakke wachtwoorden van beheerdersaccounts te raden. Ze scannen actief het internet op blootgestelde MySQL-servers en proberen deze te doorbreken door verschillende beheerdersreferenties uit te proberen.
Voor Windows MySQL-servers gebruiken de aanvallers een functie die bekend staat als door de gebruiker gedefinieerde functies (UDF's) om opdrachten uit te voeren op het aangetaste systeem. Met UDF's in MySQL kunnen gebruikers functies in C of C++ maken en deze in een DLL-bestand compileren, waardoor de mogelijkheden van de databaseserver worden uitgebreid.
In dit geval maken de aanvallers hun eigen UDF's en registreren deze bij de databaseserver als een DLL-bestand (amd.dll) met kwaadaardige functies, waaronder het downloaden van Ddostf DDoS-botpayloads, het uitvoeren van opdrachten op systeemniveau en het verzenden van uitvoeringsresultaten van opdrachten naar de databaseserver. aanvallers. Dit UDF-misbruik helpt bij het laden van de belangrijkste lading van de aanval, de Ddostf-botclient, maar kan mogelijk ook leiden tot andere malware-installaties, gegevensdiefstal en het creëren van achterdeurtjes voor permanente toegang.
Oorsprong van het Ddostf-botnet
Ddostf, een malwarebotnet van Chinese oorsprong dat ongeveer zeven jaar geleden werd ontdekt, richt zich op zowel Linux- als Windows-systemen. Op Windows zorgt het voor persistentie door zich tijdens de eerste keer voor te doen als een systeemservice en vervolgens de command and control (C2)-configuratie te decoderen om een verbinding tot stand te brengen. De malware verzamelt informatie over het hostsysteem, zoals CPU-gegevens, taal, Windows-versie en netwerksnelheid, en verzendt deze gegevens naar de C2.
De C2-server kan vervolgens verschillende opdrachten naar de botnetclient sturen, waaronder verschillende soorten DDoS-aanvallen, verzoeken om te stoppen met het verzenden van systeemstatusinformatie, overschakelen naar een nieuw C2-adres of het downloaden en uitvoeren van een nieuwe payload. ASEC merkt op dat het vermogen van Ddostf om verbinding te maken met een nieuw C2-adres het onderscheidt van de meeste DDoS-botnet-malware, waardoor het beter bestand is tegen verwijderingen.
Om zich tegen deze bedreigingen te beschermen, raadt het cyberbeveiligingsbedrijf MySQL-beheerders aan hun systemen up-to-date te houden en lange, unieke wachtwoorden te gebruiken ter bescherming tegen brute force- en woordenboekaanvallen.
