MySQL sunucuları, ateş gücü diğer siber suçlulara kiralanan bir DDOS platformu için onları köleleştirmek için 'DDostf' kötü amaçlı yazılım botnet tarafından hedefleniyor.
Bu kampanya, veritabanı sunucularını hedefleyen tehditlerin düzenli olarak izlenmesi sırasında Ahnlab Güvenlik Acil Müdahale Merkezi'ndeki (ASEC) araştırmacılar tarafından keşfedildi.
ASEC, DDOSTF'nin operatörlerinin, sunucuları ihlal etmek için kapatılmamış MySQL ortamlarındaki güvenlik açıklarından yararlandığını veya Brute-Force Zayıf Yönetici Hesap Kimlikleri'ni kullandığını bildiriyor.
Saldırganlar, maruz kalan MySQL sunucuları için interneti tarıyor ve bulunduğunda kaba yönetici kimlik bilgileri ile bunları ihlal etmeye çalışıyor.
Windows MySQL sunucuları için, tehdit aktörleri, ihlal edilen sistemdeki komutları yürütmek için kullanıcı tanımlı işlevler (UDFS) adı verilen bir özellik kullanır.
UDF, kullanıcıların C veya C ++ 'daki işlevleri tanımlamasına ve bunları veritabanı sunucusunun özelliklerini genişleten bir DLL (Dinamik Bağlantı Kütüphanesi) dosyasına derlemelerine olanak tanıyan bir MySQL özelliğidir.
Saldırganlar, bu durumda kendi UDF'lerini oluşturur ve aşağıdaki kötü niyetli işlevlerle DLL dosyası (AMD.DLL) olarak veritabanı sunucusuna kaydolur:
UDF kötüye kullanımı, bu saldırının birincil yükünün, DDostf bot istemcisinin yüklenmesini kolaylaştırır.
Bununla birlikte, potansiyel olarak diğer kötü amaçlı yazılım kurulumuna, veri açığa çıkmasına, kalıcı erişim için arka kapıların oluşturulmasına ve daha fazlasına izin verebilir.
DDostf, ilk olarak yaklaşık yedi yıl önce vahşi olarak görülen Çin kökenli kötü amaçlı bir botnettir ve hem Linux hem de Windows sistemlerini hedefler.
Windows'ta, önce çalıştırıldıktan sonra kendisini bir sistem hizmeti olarak kaydederek kalıcılık oluşturur ve daha sonra bir bağlantı kurmak için C2 (komut ve kontrol) yapılandırmasını şifreledi.
Kötü amaçlı yazılım, ana bilgisayar sistemini profesörler ve CPU frekansı ve çekirdek sayısı, dil bilgileri, Windows sürümü, ağ hızı vb. Gibi verileri C2'ye gönderir.
C2 Sunucusu, Syn Sel, UDP Sel ve HTTP GET/Sel Saldırı Türleri de dahil olmak üzere BOTNET istemcisine DDOS saldırı komutları gönderebilir, sistem durumu iletmeyi durdurmayı, yeni bir C2 adresine geçme veya yeni bir indirme ve yürütme isteyebilir. yük.
ASEC, DDOSTF'in yeni bir C2 adresine bağlanma yeteneğinin, onu çoğu DDOS Botnet kötü amaçlı yazılımından öne çıkardığını ve yayından kaldırmalara karşı esneklik sağlayan bir unsur olduğunu söylüyor.
Siber güvenlik şirketi, MySQL yöneticilerinin en son güncellemeleri uyguladığını ve yönetici hesaplarını kaba kuvvet ve sözlük saldırılarından korumak için uzun, benzersiz şifreler seçtiğini ileri sürüyor.
Mozi kötü amaçlı yazılım botnet, öldürme anahtarının gizemli kullanımından sonra kararıyor
DDOS saldırıları en büyük teknoloji şirketlerini bile nasıl düşürüyor?
Kötü niyetli trafik için 23.000 vekil ile ipstorm botnet parçalandı
SOCKS5Systemz Proxy Service dünya çapında 10.000 sistemi bulaştı
Mirai DDOS kötü amaçlı yazılım varyantı, 13 yönlendirici istismarıyla hedefleri genişletir
Kaynak: Bleeping Computer