ClickCease Ddostf DDoS-Botnetz-Malware zielt auf MySQL-Server

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Ddostf DDoS-Botnetz-Malware zielt auf MySQL-Server

von Rohan Timalsina

November 28, 2023 - TuxCare-Expertenteam

Hüten Sie sich vor einer neuen Bedrohung in der Cyberwelt: Das Malware-Botnet "Ddostf" ist auf der Jagd und hat es speziell auf MySQL-Server abgesehen. Dieses bösartige Botnet versklavt MySQL-Server für einen finsteren Zweck - den Betrieb einer DDoS-as-a-Service-Plattform, die an andere Cyberkriminelle vermietet werden kann. Die Entdeckung dieser schändlichen Kampagne ist den fleißigen Forschern des AhnLab Security Emergency Response Center (ASEC) zu verdanken, die regelmäßig Bedrohungen für Datenbankserver überwachen.

 

Angriffe auf MySQL-Server

 

Die Hintermänner von Ddostf verwenden eine Vielzahl von Taktiken, um MySQL-Server zu kompromittieren. Sie nutzen entweder Schwachstellen in ungepatchten MySQL-Umgebungen aus oder erzwingen in einer klassischen Aktion schwache Administrator-Zugangsdaten, um sich unbefugten Zugang zu verschaffen.

Bei Windows-MySQL-Servern nutzen die Bedrohungsakteure eine Funktion, die als benutzerdefinierte Funktionen (UDFs) bekannt ist, um Befehle auf dem angegriffenen System auszuführen. UDF ist eine MySQL-Funktion, die es Benutzern ermöglicht, Funktionen in C oder C++ zu definieren und sie in eine DLL-Datei (Dynamic Link Library) zu kompilieren, die die Fähigkeiten des Datenbankservers erweitert.

Bei diesem speziellen Angriff erstellen die Angreifer ihre eigenen UDFs und registrieren sie beim Datenbankserver als DLL-Datei (amd.dll), die bösartige Funktionen enthält. Zu diesen Funktionen gehören das Herunterladen von Nutzdaten, die Ausführung von Befehlen auf Systemebene, die von den Angreifern gesendet werden, und das Senden der Ergebnisse der Befehlsausführung an die Angreifer. Der Missbrauch von UDFs dient als Einfallstor für das Laden der primären Nutzlast des Angriffs - des Ddostf-Botclients. Er öffnet jedoch die Tür für andere potenzielle Bedrohungen wie die Installation von Malware, die Datenexfiltration und die Erstellung von Hintertüren für einen dauerhaften Zugriff.

 

Details zur Malware Ddostf

 

Ddostf, ein Malware-Botnet chinesischen Ursprungs, ist seit etwa sieben Jahren im Umlauf und zielt sowohl auf Linux- als auch auf Windows-Systeme ab. Unter Windows registriert sie sich bei der ersten Ausführung als Systemdienst und entschlüsselt ihre Command-and-Control-Konfiguration (C2), um eine Verbindung herzustellen. Die Malware erstellt ein Profil des Hostsystems und sendet verschiedene Daten wie CPU-Frequenz, Anzahl der Kerne, Sprachinformationen, Windows-Version und Netzwerkgeschwindigkeit an ihr C2.

Der C2-Server kann dem Botnet-Client Befehle erteilen und ihn anweisen, DDoS-Angriffe wie SYN Flood, UDP Flood und HTTP GET/POST Flood durchzuführen. Außerdem kann er das Botnet auffordern, die Übermittlung von Systemstatusinformationen einzustellen, zu einer neuen C2-Adresse zu wechseln oder eine neue Nutzlast herunterzuladen und auszuführen. Insbesondere die Fähigkeit von Ddostf, eine Verbindung zu einer neuen C2-Adresse herzustellen, unterscheidet ihn von den meisten DDoS-Botnet-Malwareprogrammen und macht ihn widerstandsfähig gegen Takedowns.

 

Schlussfolgerung

 

Um sich vor solchen Bedrohungen zu schützen, empfehlen die Cybersicherheitsexperten von ASEC, dass MySQL-Administratoren umgehend die neuesten Updates installieren. Außerdem betonen sie, wie wichtig es ist, lange und eindeutige Passwörter zu wählen, um Administratorkonten vor Brute-Force- und Wörterbuchangriffen zu schützen. Seien Sie wachsam, bleiben Sie sicher.

 

Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.

Zusammenfassung
Ddostf DDoS-Botnetz-Malware zielt auf MySQL-Server
Artikel Name
Ddostf DDoS-Botnetz-Malware zielt auf MySQL-Server
Beschreibung
Entdecken Sie die neueste Sicherheitsbedrohung für MySQL-Server - das Malware-Botnetz "Ddostf". Erfahren Sie, wie Sie Ihre Daten vor DDoS-Angriffen schützen können.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter