MySQL 서버를 표적으로 삼는 Ddostf DDoS 봇넷 멀웨어
사이버 영역의 새로운 위협인 'Ddostf' 멀웨어 봇넷이 활개를 치고 있으며, 특히 MySQL 서버를 표적으로 삼고 있습니다. 이 악성 봇넷은 다른 사이버 범죄자에게 임대할 수 있는 서비스형 DDoS 플랫폼을 실행하는 사악한 목적을 위해 MySQL 서버를 노예로 만듭니다. 이 악의적인 캠페인을 발견한 것은 데이터베이스 서버를 노리는 위협을 정기적으로 모니터링하는 안랩 시큐리티 긴급대응센터(ASEC)의 부지런한 연구원들의 노력 덕분입니다.
MySQL 서버 공격
Ddostf의 배후에 있는 운영자는 다양한 수법을 사용하여 MySQL 서버를 손상시킵니다. 패치가 적용되지 않은 MySQL 환경의 취약점을 악용하거나, 고전적인 방법으로 취약한 관리자 계정 자격 증명을 무차별 대입하여 무단 액세스 권한을 획득합니다.
Windows MySQL 서버의 경우, 위협 행위자는 사용자 정의 함수(UDF)라는 기능을 사용하여 손상된 시스템에서 명령을 실행합니다. UDF는 사용자가 C 또는 C++로 함수를 정의하여 데이터베이스 서버의 기능을 확장하는 DLL(동적 링크 라이브러리) 파일로 컴파일할 수 있는 MySQL 기능입니다.
이 특정 공격에서는 공격자가 자체 UDF를 생성하여 데이터베이스 서버에 악성 기능을 포함하는 DLL 파일(amd.dll)로 등록합니다. 이러한 기능에는 페이로드 다운로드, 공격자가 전송한 시스템 수준 명령 실행, 명령 실행 결과를 공격자에게 전송하는 기능이 포함됩니다. UDF의 남용은 공격의 주요 페이로드인 Ddostf 봇 클라이언트를 로딩하는 게이트웨이 역할을 합니다. 그러나 멀웨어 설치, 데이터 유출, 지속적인 액세스를 위한 백도어 생성 등 다른 잠재적 위협에 노출될 수 있습니다.
Ddostf 멀웨어 세부 정보
중국발 멀웨어 봇넷인 Ddostf는 약 7년간 야생에서 활동해 왔으며 Linux와 Windows 시스템을 모두 표적으로 삼습니다. Windows에서는 최초 실행 시 시스템 서비스로 등록하여 지속성을 확보하고 명령 및 제어(C2) 구성을 복호화하여 연결을 설정합니다. 이 악성코드는 호스트 시스템을 프로파일링하여 CPU 주파수, 코어 수, 언어 정보, Windows 버전, 네트워크 속도 등 다양한 데이터를 C2로 전송합니다.
C2 서버는 봇넷 클라이언트에 명령을 내려 SYN 플러드, UDP 플러드, HTTP GET/POST 플러드와 같은 DDoS 공격을 수행하도록 지시할 수 있습니다. 또한 봇넷에 시스템 상태 정보 전송 중단, 새로운 C2 주소로 전환, 새로운 페이로드 다운로드 및 실행을 요청할 수 있습니다. 특히, 새로운 C2 주소에 연결할 수 있는 Ddostf의 기능은 대부분의 DDoS 봇넷 멀웨어와 차별화되는 기능으로, 테이크다운에 대한 복원력을 제공합니다.
결론
이러한 위협으로부터 보호하기 위해 ASEC의 사이버 보안 전문가들은 MySQL 관리자가 최신 업데이트를 즉시 적용할 것을 권장합니다. 또한 무차별 암호 대입 공격과 사전 공격으로부터 관리자 계정을 보호하기 위해 길고 고유한 비밀번호를 선택하는 것이 중요하다고 강조합니다. 경계를 늦추지 말고 보안을 유지하세요.
이 글의 출처는 BleepingComputer의 기사입니다.