ClickCease El malware DDoS Botnet Ddostf apunta a servidores MySQL

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El malware DDoS Botnet Ddostf apunta a servidores MySQL

por Rohan Timalsina

28 de noviembre de 2023 - Equipo de expertos TuxCare

Cuidado con una nueva amenaza en el ciberespacio: el botnet malicioso "Ddostf" está al acecho, específicamente dirigido a servidores MySQL. Esta botnet maliciosa esclaviza servidores MySQL con un propósito siniestro: ejecutar una plataforma DDoS-as-a-Service que puede alquilarse a otros ciberdelincuentes. El descubrimiento de esta nefasta campaña es cortesía de los diligentes investigadores del AhnLab Security Emergency Response Center (ASEC), que monitorizan regularmente las amenazas dirigidas a servidores de bases de datos.

 

Ataque a servidores MySQL

 

Los operadores detrás de Ddostf emplean una variedad de tácticas para comprometer servidores MySQL. Se aprovechan de vulnerabilidades en entornos MySQL sin parches o, en un movimiento clásico, fuerza bruta credenciales de cuenta de administrador débiles para obtener acceso no autorizado.

Para los servidores MySQL de Windows, los actores de la amenaza utilizan una característica conocida como funciones definidas por el usuario (UDF) para ejecutar comandos en el sistema comprometido. UDF es una característica de MySQL que permite a los usuarios definir funciones en C o C++, compilándolas en un archivo DLL (dynamic link library) que amplía las capacidades del servidor de base de datos.

En este ataque concreto, los atacantes crean sus propias UDF y las registran en el servidor de bases de datos como un archivo DLL (amd.dll) que alberga funciones maliciosas. Estas funciones incluyen la descarga de cargas útiles, la ejecución de comandos a nivel de sistema enviados por los atacantes y el envío de los resultados de la ejecución de comandos a los atacantes. El abuso de las UDF sirve como puerta de entrada para cargar la carga útil principal del ataque: el cliente bot Ddostf. Sin embargo, abre la puerta a otras amenazas potenciales como la instalación de malware, la exfiltración de datos y la creación de puertas traseras para el acceso persistente.

 

Detalles del malware Ddostf

 

Ddostf, una red de bots maliciosos de origen chino, lleva en libertad aproximadamente siete años y se dirige tanto a sistemas Linux como Windows. En Windows, establece su persistencia registrándose como un servicio del sistema al ejecutarse por primera vez y descifra su configuración de comando y control (C2) para establecer una conexión. El malware realiza un perfil del sistema anfitrión, enviando a su C2 diversos datos como la frecuencia de la CPU, el número de núcleos, información sobre el idioma, la versión de Windows y la velocidad de la red.

El servidor C2 puede emitir órdenes al cliente de la red de bots para que ejecute ataques DDoS como SYN Flood, UDP Flood y HTTP GET/POST Flood. Además, puede solicitar a la botnet que deje de transmitir información sobre el estado del sistema, que cambie a una nueva dirección C2 o que descargue y ejecute una nueva carga útil. En particular, la capacidad de Ddostf para conectarse a una nueva dirección C2 lo distingue de la mayoría del malware de botnet DDoS, lo que le proporciona resistencia frente a los desmantelamientos.

 

Conclusión

 

Para protegerse contra estas amenazas, los expertos en ciberseguridad de ASEC recomiendan que los administradores de MySQL apliquen rápidamente las últimas actualizaciones. Además, hacen hincapié en la importancia de elegir contraseñas largas y únicas para proteger las cuentas de administrador de los ataques de fuerza bruta y de diccionario. Mantente alerta, mantente seguro.

 

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen
El malware DDoS Botnet Ddostf apunta a servidores MySQL
Nombre del artículo
El malware DDoS Botnet Ddostf apunta a servidores MySQL
Descripción
Descubra la última amenaza para la seguridad de los servidores MySQL: el botnet de malware "Ddostf". Aprende a proteger tus datos de los ataques DDoS.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín