Ddostf Botnet distribuerar Attackf på MySQL-servrar
Botnätet 'Ddostf' fokuserar sin aktivitet på MySQL-servrar med syftet att ta kontroll och erbjuda sina DDoS-möjligheter som en tjänst till andra cyberkriminella.
Forskare vid AhnLab Security Emergency Response Center (ASEC) fann detta hot medan de regelbundet kollade efter faror mot databasservrar. ASEC avslöjar att Ddostfs operatörer utnyttjar svagheter i MySQL-inställningar som inte har uppdaterats eller försöker bryta sig in genom att gissa svaga lösenord för administratörskonton. De söker aktivt på internet efter exponerade MySQL-servrar och försöker bryta mot dem genom att prova olika administratörsuppgifter.
För Windows MySQL-servrar använder angriparna en funktion som kallas användardefinierade funktioner (UDF) för att köra kommandon på det komprometterade systemet. UDF:er i MySQL låter användare skapa funktioner i C eller C++ och kompilera dem till en DLL-fil, vilket utökar databasserverns möjligheter.
I det här fallet skapar angriparna sina egna UDF:er och registrerar dem på databasservern som en DLL-fil (amd.dll) med skadliga funktioner, inklusive nedladdning av Ddostf DDoS-botnyttolaster, exekvering av kommandon på systemnivå och sändning av kommandoexekveringsresultat till angripare. Denna UDF-missbruk hjälper till att ladda attackens huvudsakliga nyttolast, Ddostf-botklienten, men det kan också potentiellt leda till andra installationer av skadlig programvara, datastöld och skapa bakdörrar för ihållande åtkomst.
Ursprunget till Ddostf Botnet
Ddostf, ett botnät för skadlig programvara med kinesiskt ursprung som upptäcktes för cirka sju år sedan, riktar sig till både Linux- och Windows-system. På Windows säkerställer den uthållighet genom att posera som en systemtjänst under den första körningen och dekrypterar sedan dess kommando- och kontrollkonfiguration (C2) för att upprätta en anslutning. Skadlig programvara samlar information om värdsystemet, såsom CPU-detaljer, språk, Windows-version och nätverkshastighet, och skickar dessa data till sin C2.
C2-servern kan sedan skicka olika kommandon till botnätklienten, inklusive olika typer av DDoS-attacker, förfrågningar om att sluta skicka systemstatusinformation, byta till en ny C2-adress eller ladda ner och exekvera en ny nyttolast. ASEC noterar att Ddostfs förmåga att ansluta till en ny C2-adress skiljer den från de flesta DDoS-botnätskadliga program, vilket gör den mer motståndskraftig mot borttagningar.
För att skydda sig mot dessa hot rekommenderar cybersäkerhetsföretaget MySQL-administratörer att hålla sina system uppdaterade och använda långa, unika lösenord för att skydda mot brute force och ordboksattacker.