Ddostf DDoS-Botnetz-Malware zielt auf MySQL-Server
Hüten Sie sich vor einer neuen Bedrohung in der Cyberwelt: Das Malware-Botnet "Ddostf" ist auf der Jagd und hat es speziell auf MySQL-Server abgesehen. Dieses bösartige Botnet versklavt MySQL-Server für einen finsteren Zweck - den Betrieb einer DDoS-as-a-Service-Plattform, die an andere Cyberkriminelle vermietet werden kann. Die Entdeckung dieser schändlichen Kampagne ist den fleißigen Forschern des AhnLab Security Emergency Response Center (ASEC) zu verdanken, die regelmäßig Bedrohungen für Datenbankserver überwachen.
Angriffe auf MySQL-Server
Die Hintermänner von Ddostf verwenden eine Vielzahl von Taktiken, um MySQL-Server zu kompromittieren. Sie nutzen entweder Schwachstellen in ungepatchten MySQL-Umgebungen aus oder erzwingen in einer klassischen Aktion schwache Administrator-Zugangsdaten, um sich unbefugten Zugang zu verschaffen.
Bei Windows-MySQL-Servern nutzen die Bedrohungsakteure eine Funktion, die als benutzerdefinierte Funktionen (UDFs) bekannt ist, um Befehle auf dem angegriffenen System auszuführen. UDF ist eine MySQL-Funktion, die es Benutzern ermöglicht, Funktionen in C oder C++ zu definieren und sie in eine DLL-Datei (Dynamic Link Library) zu kompilieren, die die Fähigkeiten des Datenbankservers erweitert.
Bei diesem speziellen Angriff erstellen die Angreifer ihre eigenen UDFs und registrieren sie beim Datenbankserver als DLL-Datei (amd.dll), die bösartige Funktionen enthält. Zu diesen Funktionen gehören das Herunterladen von Nutzdaten, die Ausführung von Befehlen auf Systemebene, die von den Angreifern gesendet werden, und das Senden der Ergebnisse der Befehlsausführung an die Angreifer. Der Missbrauch von UDFs dient als Einfallstor für das Laden der primären Nutzlast des Angriffs - des Ddostf-Botclients. Er öffnet jedoch die Tür für andere potenzielle Bedrohungen wie die Installation von Malware, die Datenexfiltration und die Erstellung von Hintertüren für einen dauerhaften Zugriff.
Details zur Malware Ddostf
Ddostf, ein Malware-Botnet chinesischen Ursprungs, ist seit etwa sieben Jahren im Umlauf und zielt sowohl auf Linux- als auch auf Windows-Systeme ab. Unter Windows registriert sie sich bei der ersten Ausführung als Systemdienst und entschlüsselt ihre Command-and-Control-Konfiguration (C2), um eine Verbindung herzustellen. Die Malware erstellt ein Profil des Hostsystems und sendet verschiedene Daten wie CPU-Frequenz, Anzahl der Kerne, Sprachinformationen, Windows-Version und Netzwerkgeschwindigkeit an ihr C2.
Der C2-Server kann dem Botnet-Client Befehle erteilen und ihn anweisen, DDoS-Angriffe wie SYN Flood, UDP Flood und HTTP GET/POST Flood durchzuführen. Außerdem kann er das Botnet auffordern, die Übermittlung von Systemstatusinformationen einzustellen, zu einer neuen C2-Adresse zu wechseln oder eine neue Nutzlast herunterzuladen und auszuführen. Insbesondere die Fähigkeit von Ddostf, eine Verbindung zu einer neuen C2-Adresse herzustellen, unterscheidet ihn von den meisten DDoS-Botnet-Malwareprogrammen und macht ihn widerstandsfähig gegen Takedowns.
Schlussfolgerung
Um sich vor solchen Bedrohungen zu schützen, empfehlen die Cybersicherheitsexperten von ASEC, dass MySQL-Administratoren umgehend die neuesten Updates installieren. Außerdem betonen sie, wie wichtig es ist, lange und eindeutige Passwörter zu wählen, um Administratorkonten vor Brute-Force- und Wörterbuchangriffen zu schützen. Seien Sie wachsam, bleiben Sie sicher.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.