Servidores MySQL visados pelo botnet 'Ddostf' DDoS-como-Serviço
17 de Novembro de 2023

Os servidores MySQL estão sendo alvo do botnet de malware 'Ddostf' para escravizá-los para uma plataforma DDoS como serviço, cujo poder de fogo é alugado para outros criminosos cibernéticos.

Esta campanha foi descoberta por pesquisadores do AhnLab Security Emergency Response Center (ASEC) durante seu monitoramento regular de ameaças direcionadas a servidores de banco de dados.

O ASEC relata que os operadores do Ddostf exploram vulnerabilidades em ambientes MySQL não corrigidos ou forçam bruscamente as credenciais fracas da conta do administrador para violar os servidores.

Os invasores estão vasculhando a internet em busca de servidores MySQL expostos e, quando encontram, tentam violá-los forçando a entrada nas credenciais do administrador.

Para servidores MySQL no Windows, os criminosos usam um recurso chamado funções definidas pelo usuário (UDFs) para executar comandos no sistema violado.

UDF é um recurso do MySQL que permite aos usuários definir funções em C ou C++ e compilá-las em um arquivo DLL (Dynamic Link Library) que amplia as capacidades do servidor de banco de dados.

No caso, os invasores criam suas próprias UDFs e as registram no servidor de banco de dados como um arquivo DLL (amd.dll) com as seguintes funções maliciosas:

Baixar payloads como o bot DDoS do Ddostf de um servidor remoto.
Executando comandos de nível de sistema arbitrários enviados pelos invasores.
Envie os resultados da execução do comando para um arquivo temporário e os envie para os invasores.

O abuso de UDF facilita o carregamento do payload deste ataque, o cliente-bot Ddostf.

No entanto, também pode potencialmente permitir a instalação de outros malwares, exfiltração de dados, criação de backdoors para acesso persistente, e mais.

O Ddostf é um botnet de malware de origem chinesa, visto pela primeira vez em estado selvagem cerca de sete anos atrás, e tem como alvo tanto sistemas Linux quanto Windows.

No Windows, ele se estabelece fazendo persistência ao se registrar como um serviço do sistema na primeira execução e, em seguida, descriptografa sua configuração C2 (comando e controle) para estabelecer uma conexão.

O malware faz um perfil do sistema hospedeiro e envia dados como frequência de CPU e número de núcleos, informações de idioma, versão do Windows, velocidade da rede, etc., para seu C2.

O servidor C2 pode enviar comandos de ataque DDoS ao cliente botnet, incluindo tipos de ataque SYN Flood, UDP Flood e HTTP GET/POST Flood, solicitação para parar de transmitir informações de status do sistema, alternar para um novo endereço C2 ou baixar e executar um novo payload.

O ASEC comenta que a capacidade do Ddostf de se conectar a um novo endereço C2 o destaca da maioria dos malwares de botnet DDoS e é um elemento que lhe confere resistência contra desmontagens.

A empresa de segurança cibernética sugere que os administradores do MySQL apliquem as últimas atualizações e escolham senhas longas e únicas para proteger as contas de administrador contra ataques de força bruta e de dicionário.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...