El malware DDoS Botnet Ddostf apunta a servidores MySQL
Cuidado con una nueva amenaza en el ciberespacio: el botnet malicioso "Ddostf" está al acecho, específicamente dirigido a servidores MySQL. Esta botnet maliciosa esclaviza servidores MySQL con un propósito siniestro: ejecutar una plataforma DDoS-as-a-Service que puede alquilarse a otros ciberdelincuentes. El descubrimiento de esta nefasta campaña es cortesía de los diligentes investigadores del AhnLab Security Emergency Response Center (ASEC), que monitorizan regularmente las amenazas dirigidas a servidores de bases de datos.
Ataque a servidores MySQL
Los operadores detrás de Ddostf emplean una variedad de tácticas para comprometer servidores MySQL. Se aprovechan de vulnerabilidades en entornos MySQL sin parches o, en un movimiento clásico, fuerza bruta credenciales de cuenta de administrador débiles para obtener acceso no autorizado.
Para los servidores MySQL de Windows, los actores de la amenaza utilizan una característica conocida como funciones definidas por el usuario (UDF) para ejecutar comandos en el sistema comprometido. UDF es una característica de MySQL que permite a los usuarios definir funciones en C o C++, compilándolas en un archivo DLL (dynamic link library) que amplía las capacidades del servidor de base de datos.
En este ataque concreto, los atacantes crean sus propias UDF y las registran en el servidor de bases de datos como un archivo DLL (amd.dll) que alberga funciones maliciosas. Estas funciones incluyen la descarga de cargas útiles, la ejecución de comandos a nivel de sistema enviados por los atacantes y el envío de los resultados de la ejecución de comandos a los atacantes. El abuso de las UDF sirve como puerta de entrada para cargar la carga útil principal del ataque: el cliente bot Ddostf. Sin embargo, abre la puerta a otras amenazas potenciales como la instalación de malware, la exfiltración de datos y la creación de puertas traseras para el acceso persistente.
Detalles del malware Ddostf
Ddostf, una red de bots maliciosos de origen chino, lleva en libertad aproximadamente siete años y se dirige tanto a sistemas Linux como Windows. En Windows, establece su persistencia registrándose como un servicio del sistema al ejecutarse por primera vez y descifra su configuración de comando y control (C2) para establecer una conexión. El malware realiza un perfil del sistema anfitrión, enviando a su C2 diversos datos como la frecuencia de la CPU, el número de núcleos, información sobre el idioma, la versión de Windows y la velocidad de la red.
El servidor C2 puede emitir órdenes al cliente de la red de bots para que ejecute ataques DDoS como SYN Flood, UDP Flood y HTTP GET/POST Flood. Además, puede solicitar a la botnet que deje de transmitir información sobre el estado del sistema, que cambie a una nueva dirección C2 o que descargue y ejecute una nueva carga útil. En particular, la capacidad de Ddostf para conectarse a una nueva dirección C2 lo distingue de la mayoría del malware de botnet DDoS, lo que le proporciona resistencia frente a los desmantelamientos.
Conclusión
Para protegerse contra estas amenazas, los expertos en ciberseguridad de ASEC recomiendan que los administradores de MySQL apliquen rápidamente las últimas actualizaciones. Además, hacen hincapié en la importancia de elegir contraseñas largas y únicas para proteger las cuentas de administrador de los ataques de fuerza bruta y de diccionario. Mantente alerta, mantente seguro.
Las fuentes de este artículo incluyen un artículo de BleepingComputer.