Ботнет Ddostf развертывает Attackf на серверах MySQL

Ботнет «Ddostf» концентрирует свою деятельность на серверах MySQL с целью захватить контроль и предложить их возможности DDoS в качестве услуги другим киберпреступникам.

Исследователи из Центра реагирования на чрезвычайные ситуации AhnLab Security (ASEC) обнаружили эту угрозу во время регулярной проверки на наличие опасностей, нацеленных на серверы баз данных. ASEC сообщает, что операторы Ddostf используют слабые места в настройках MySQL, которые не были обновлены, или пытаются взломать, угадывая слабые пароли учетных записей администратора. Они активно сканируют Интернет в поисках открытых серверов MySQL, пытаясь взломать их, используя различные учетные данные администратора.

На серверах Windows MySQL злоумышленники используют функцию, известную как определяемые пользователем функции (UDF), для запуска команд в скомпрометированной системе. UDF в MySQL позволяют пользователям создавать функции на C или C++ и компилировать их в файл DLL, расширяя возможности сервера базы данных.

В этом случае злоумышленники создают свои собственные UDF-файлы и регистрируют их на сервере базы данных в виде DLL-файла (amd.dll) с вредоносными функциями, включая загрузку полезных нагрузок DDoS-бота Ddostf, выполнение команд системного уровня и отправку результатов выполнения команд на сервер. нападавшие. Такое злоупотребление UDF помогает загрузить основную полезную нагрузку атаки — бот-клиент Ddostf, но также потенциально может привести к установке других вредоносных программ, краже данных и созданию бэкдоров для постоянного доступа.

Истоки ботнета Ddostf

Ddostf, вредоносный ботнет китайского происхождения, обнаруженный около семи лет назад, нацелен как на системы Linux, так и на Windows. В Windows он обеспечивает сохранение, выдавая себя за системную службу во время первоначального запуска, а затем расшифровывает свою конфигурацию управления и контроля (C2) для установления соединения. Вредоносная программа собирает информацию о хост-системе, такую как сведения о процессоре, языке, версии Windows и скорости сети, и отправляет эти данные на свой C2.

Затем сервер C2 может отправлять различные команды клиенту ботнета, включая различные типы DDoS-атак, запросы на прекращение отправки информации о состоянии системы, переключение на новый адрес C2 или загрузку и выполнение новой полезной нагрузки. ASEC отмечает, что способность Ddostf подключаться к новому адресу C2 отличает его от большинства вредоносных программ DDoS-ботнетов, делая его более устойчивым к удалению.

Чтобы защититься от этих угроз, компания по кибербезопасности рекомендует администраторам MySQL обновлять свои системы и использовать длинные уникальные пароли для защиты от перебора и атак по словарю.