Ddostf殭屍網路在MySQL伺服器上部署攻擊
「Ddostf」殭屍網路將其活動重點放在 MySQL 伺服器上,目的是控制並向其他網路犯罪分子提供其 DDoS 功能作為服務。
AhnLab 安全緊急應變中心 (ASEC) 的研究人員在定期檢查針對資料庫伺服器的危險時發現了這項威脅。 ASEC 透露,Ddostf 的操作者利用尚未更新的 MySQL 設定中的弱點,或嘗試透過猜測管理員帳戶的弱密碼進行入侵。他們主動掃描網路上暴露的 MySQL 伺服器,嘗試透過嘗試各種管理員憑證來破壞它們。
對於 Windows MySQL 伺服器,攻擊者使用稱為使用者定義函數 (UDF) 的功能在受感染的系統上執行命令。 MySQL 中的 UDF 允許使用者用 C 或 C++ 建立函數並將其編譯為 DLL 文件,從而擴展資料庫伺服器的功能。
在這種情況下,攻擊者會建立自己的UDF,並將其作為具有惡意功能的DLL檔案(amd.dll)註冊到資料庫伺服器,包括下載Ddostf DDoS殭屍程式有效負載,執行系統級命令,以及將命令執行結果發送到資料庫伺服器。攻擊者。這種 UDF 濫用有助於加載攻擊的主要有效負載,即 Ddostf 機器人用戶端,但它也可能導致其他惡意軟體安裝、資料竊取以及創建用於持久存取的後門。
Ddostf 殭屍網路的起源
Ddostf 是大約七年前發現的源自中國的惡意軟體殭屍網絡,它針對 Linux 和 Windows 系統。在 Windows 上,它透過在初始運行期間偽裝成系統服務來確保持久性,然後解密其命令和控制 (C2) 配置以建立連接。此惡意軟體會收集有關主機系統的信息,例如 CPU 詳細資訊、語言、Windows 版本和網路速度,並將這些資料傳送到其 C2。
然後,C2 伺服器可以向殭屍網路用戶端發送各種命令,包括不同類型的 DDoS 攻擊、請求停止發送系統狀態資訊、切換到新的 C2 位址或下載並執行新的有效負載。 ASEC 指出,Ddostf 連接到新 C2 位址的能力使其有別於大多數 DDoS 殭屍網路惡意軟體,使其更能抵禦攻擊。
為了防範這些威脅,網路安全公司建議 MySQL 管理員保持系統更新,並使用長而獨特的密碼來防止暴力破解和字典攻擊。