Ddostf Botnet napada MySQL servere
Zlonamjerni botnet pod imenom Ddostf je trenutno u porastu sa svojim napadima, posebno ciljajući MySQL servere kako bi ih iskoristio kao dio DDoS-as-a-Service platforme koju mogu da iznajme drugi zlonamjerni akteri.
Ova zlonamjerna aktivnost je otkrivena od stane istraživača AhnLab Securiti Emergenci Response Center (ASEC) i razotkriva mračne temelje sajber prijetnji koje iskorišćavaju ranjivosti u MySQL okruženjima ili iskorištavaju slabe administratorske akreditive putem napada grubom silom (eng. brute force attack).
DDOSTF BOTNET: PORIJEKLO
Zlonamjerni botnet pod imenom Ddostf je kineskog porijekla i aktivan je otprilike oko sedam godina. Nije ograničen na određen operativni sistem, već cilja Linux i Windows operativne sisteme. Na Windows operativnim sistemima uspostavlja postojanost tako što se registruje kao sistemski servis i dešifruje svoju komandnu i kontrolnu (C2) konfiguraciju da uspostavi vezu, a jedinstvena mogućnost povezivanja na nove C2 adrese omogućuje otpornost na uklanjanje.
Ovaj botnet prikuplja podatke o inficiranom uređaju kao što su frekvencija procesora, informacije o jeziku, verzija Windows operativnog sistema i brzina mreže, šaljući ove informacije svom C2 serveru. Server zatim može da naredi botnet klijentu da pokrene različite DDoS napade, uključujući SIN Flood, UDP Flood i HTTP GET/POST Flood.
DDOSTF BOTNET: FUNKCIONISANJE
Zlonamjerni akteri koji stoje iza Ddostf botnet mreže strateški skeniranju Internet u potrazi za ranjivim MySQL serverima, koristeći dvostruki pristup iskorištavanja ranjivosti u sistemima bez odgovarajućih ažuriranja i agresivno pokušavajući da razbiju slabe lozinke administratorskih naloga. Za MySQL servere zasnovane na Windows operativnom sistemu, zlonamjerni akteri koriste tehniku poznatu kao korisnički definisane funkcije (eng. User-Defined Functions – UDF) za izvršavanje komandi na kompromitovanim sistemima.
Korisnički definisane funkcije su MySQL karakteristične funkcije koje omogućavaju korisnicima da definišu funkcije u C ili C++ programskom jeziku i prevedu ih u datoteke biblioteka dinamičkih veza (eng. DLL – Dynamic Link Library), proširijući mogućnosti servera baze podataka. U ovom napadu, protivnici kreiraju sopstvene zlonamjerne korisnički definisane funkcije, registrujući ih kao DLL datoteku (amd.dll), omogućavajući sebi funkcije kao što su preuzimanje korisnog tovara, izvršavanje komandi na nivou sistema i slanje rezultata izvršenja komande nazad napadačima.
Ova zloupotreba korisnički definisanih funkcija ne samo da olakšava primjenu primarnog korisnog tovara, Ddostf bot klijenta, već i otvara vrata za potencijalnu instalaciju drugog zlonamjernog softvera, preuzimanje podataka i stvaranje zadanih vrata za postojani pristup.
ZAŠTITA
Kako bi se zaštitili od ovakvih napada, MySQL server administratori bi trebalo da odmah respektivno primjenjuju najnovija dostupna ažuriranja uz robusne politike lozinki kako bi se zaštitili od napada grubom silom ili napada pomoću rječnika na administratorske naloge.