Ddostf Botnet implantando Attackf em servidores MySQL
O botnet 'Ddostf' está concentrando a sua atividade em servidores MySQL com o objetivo de assumir o controle e oferecer as suas capacidades DDoS como um serviço a outros cibercriminosos.
Pesquisadores do AhnLab Security Emergency Response Center (ASEC) encontraram essa ameaça enquanto verificavam regularmente perigos direcionados a servidores de banco de dados. ASEC revela que os operadores do Ddostf exploram pontos fracos nas configurações do MySQL que não foram atualizadas ou tentam invadir adivinhando senhas fracas de contas de administrador. Eles examinam ativamente a Internet em busca de servidores MySQL expostos, tentando violá-los, testando várias credenciais de administrador.
Para servidores Windows MySQL, os invasores usam um recurso conhecido como funções definidas pelo usuário (UDFs) para executar comandos no sistema comprometido. UDFs no MySQL permitem que os usuários criem funções em C ou C++ e as compilem em um arquivo DLL, expandindo os recursos do servidor de banco de dados.
Nesse caso, os invasores criam suas próprias UDFs e as registram no servidor de banco de dados como um arquivo DLL (amd.dll) com funções maliciosas, incluindo download de cargas úteis de bot Ddostf DDoS, execução de comandos em nível de sistema e envio de resultados de execução de comandos para o atacantes. Esse abuso de UDF ajuda a carregar a carga principal do ataque, o cliente bot Ddostf, mas também pode levar a instalações de outros malwares, roubo de dados e criação de backdoors para acesso persistente.
Origens do botnet Ddostf
Ddostf, um botnet de malware de origem chinesa detectado há cerca de sete anos, tem como alvo sistemas Linux e Windows. No Windows, ele garante a persistência fazendo-se passar por um serviço do sistema durante sua execução inicial e, em seguida, descriptografa sua configuração de comando e controle (C2) para estabelecer uma conexão. O malware coleta informações sobre o sistema host, como detalhes da CPU, idioma, versão do Windows e velocidade da rede, enviando esses dados para seu C2.
O servidor C2 pode então enviar vários comandos ao cliente botnet, incluindo diferentes tipos de ataques DDoS, solicitações para interromper o envio de informações de status do sistema, mudar para um novo endereço C2 ou baixar e executar uma nova carga útil. ASEC observa que a capacidade do Ddostf de se conectar a um novo endereço C2 o diferencia da maioria dos malwares de botnet DDoS, tornando-o mais resiliente contra remoções.
Para se proteger contra essas ameaças, a empresa de segurança cibernética recomenda que os administradores do MySQL mantenham seus sistemas atualizados e usem senhas longas e exclusivas para proteção contra força bruta e ataques de dicionário.