Ddostf殭屍網路在MySQL伺服器上部署攻擊

「Ddostf」殭屍網路將其活動重點放在 MySQL 伺服器上，目的是控制並向其他網路犯罪分子提供其 DDoS 功能作為服務。

AhnLab 安全緊急應變中心 (ASEC) 的研究人員在定期檢查針對資料庫伺服器的危險時發現了這項威脅。 ASEC 透露，Ddostf 的操作者利用尚未更新的 MySQL 設定中的弱點，或嘗試透過猜測管理員帳戶的弱密碼進行入侵。他們主動掃描網路上暴露的 MySQL 伺服器，嘗試透過嘗試各種管理員憑證來破壞它們。

對於 Windows MySQL 伺服器，攻擊者使用稱為使用者定義函數 (UDF) 的功能在受感染的系統上執行命令。 MySQL 中的 UDF 允許使用者用 C 或 C++ 建立函數並將其編譯為 DLL 文件，從而擴展資料庫伺服器的功能。

在這種情況下，攻擊者會建立自己的UDF，並將其作為具有惡意功能的DLL檔案（amd.dll）註冊到資料庫伺服器，包括下載Ddostf DDoS殭屍程式有效負載，執行系統級命令，以及將命令執行結果發送到資料庫伺服器。攻擊者。這種 UDF 濫用有助於加載攻擊的主要有效負載，即 Ddostf 機器人用戶端，但它也可能導致其他惡意軟體安裝、資料竊取以及創建用於持久存取的後門。

Ddostf 殭屍網路的起源

Ddostf 是大約七年前發現的源自中國的惡意軟體殭屍網絡，它針對 Linux 和 Windows 系統。在 Windows 上，它透過在初始運行期間偽裝成系統服務來確保持久性，然後解密其命令和控制 (C2) 配置以建立連接。此惡意軟體會收集有關主機系統的信息，例如 CPU 詳細資訊、語言、Windows 版本和網路速度，並將這些資料傳送到其 C2。

然後，C2 伺服器可以向殭屍網路用戶端發送各種命令，包括不同類型的 DDoS 攻擊、請求停止發送系統狀態資訊、切換到新的 C2 位址或下載並執行新的有效負載。 ASEC 指出，Ddostf 連接到新 C2 位址的能力使其有別於大多數 DDoS 殭屍網路惡意軟體，使其更能抵禦攻擊。

為了防範這些威脅，網路安全公司建議 MySQL 管理員保持系統更新，並使用長而獨特的密碼來防止暴力破解和字典攻擊。