Ddostf Botnet wdrażający atak na serwery MySQL
Botnet „Ddostf” koncentruje swoją aktywność na serwerach MySQL w celu przejęcia kontroli i udostępnienia ich możliwości DDoS jako usługi innym cyberprzestępcom.
Badacze z Centrum Reagowania Kryzysowego AhnLab (ASEC) odkryli to zagrożenie podczas regularnego sprawdzania zagrożeń atakujących serwery baz danych. ASEC ujawnia, że operatorzy Ddostf wykorzystują słabe punkty w konfiguracjach MySQL, które nie zostały zaktualizowane, lub próbują włamać się, zgadując słabe hasła kont administratorów. Aktywnie skanują Internet w poszukiwaniu odsłoniętych serwerów MySQL, próbując złamać je, wypróbowując różne dane uwierzytelniające administratora.
W przypadku serwerów Windows MySQL osoby atakujące wykorzystują funkcję zwaną funkcjami zdefiniowanymi przez użytkownika (UDF) do uruchamiania poleceń w zaatakowanym systemie. UDF w MySQL pozwalają użytkownikom tworzyć funkcje w C lub C++ i kompilować je do pliku DLL, rozszerzając możliwości serwera bazy danych.
W tym przypadku osoby atakujące tworzą własne UDF i rejestrują je na serwerze bazy danych jako plik DLL (amd.dll) zawierający szkodliwe funkcje, w tym pobieranie ładunków bota DDoS Ddostf, wykonywanie poleceń na poziomie systemu i wysyłanie wyników wykonania poleceń do napastnicy. To nadużycie UDF pomaga załadować główny ładunek ataku, klienta bota Ddostf, ale może również potencjalnie prowadzić do instalacji innego złośliwego oprogramowania, kradzieży danych i tworzenia backdoorów zapewniających trwały dostęp.
Początki botnetu Ddostf
Ddostf, botnet szkodliwego oprogramowania pochodzącego z Chin, wykryty około siedem lat temu, atakuje zarówno systemy Linux, jak i Windows. W systemie Windows zapewnia trwałość, udając usługę systemową podczas początkowego uruchomienia, a następnie odszyfrowuje konfigurację poleceń i kontroli (C2) w celu nawiązania połączenia. Szkodnik zbiera informacje o systemie hosta, takie jak szczegóły procesora, język, wersja systemu Windows i szybkość sieci, a następnie wysyła je do swojego komputera C2.
Serwer C2 może następnie wysyłać do klienta botnetu różne polecenia, w tym różne typy ataków DDoS, żądania zaprzestania wysyłania informacji o stanie systemu, przełączenia na nowy adres C2 lub pobrania i wykonania nowego ładunku. ASEC zauważa, że zdolność Ddostf do łączenia się z nowym adresem C2 odróżnia go od większości złośliwego oprogramowania typu botnet DDoS, zwiększając jego odporność na ataki.
Aby zabezpieczyć się przed tymi zagrożeniami, firma zajmująca się cyberbezpieczeństwem zaleca administratorom MySQL aktualizowanie swoich systemów i używanie długich, unikalnych haseł w celu ochrony przed atakami brute-force i słownikowymi.
