Οι διακομιστές MySQL στοχοποιούνται από το botnet κακόβουλου λογισμικού «Ddostf» για να τους υποδουλώσουν σε μια πλατφόρμα DDoS-as-a-
Service
της οποίας η δύναμη πυρός ενοικιάζεται σε άλλους εγκληματίες του κυβερνοχώρου.
Αυτή η καμπάνια ανακαλύφθηκε από ερευνητές στο Κέντρο Αντιμετώπισης Έκτακτης Ανάγκης
Ασφάλεια
ς AhnLab (ASEC) κατά τη διάρκεια της τακτικής παρακολούθησης απειλών που στοχεύουν διακομιστές βάσεων δεδομένων.
ΕΝΑ ΔΕΥΤΕΡΟ
Αναφορές
ότι οι χειριστές του Ddostf είτε αξιοποιούν ευπάθειες σε περιβάλλοντα MySQL που δεν έχουν επιδιορθωθεί είτε εξαναγκάζουν αδύναμα διαπιστευτήρια λογαριασμού διαχειριστή για να παραβιάσουν τους διακομιστές.
Εκμετάλλευση UDF
Οι εισβολείς σαρώνουν το Διαδίκτυο για εκτεθειμένους διακομιστές MySQL και, όταν βρεθούν, προσπαθούν να τους παραβιάσουν επιβάλλοντας βίαια διαπιστευτήρια διαχειριστή.
Για διακομιστές Windows MySQL, οι παράγοντες απειλής χρησιμοποιούν μια δυνατότητα που ονομάζεται συναρτήσεις καθορισμένες από το χρήστη (UDF) για την εκτέλεση εντολών στο σύστημα που έχει παραβιαστεί.
Μονάδα Metasploit για κατάχρηση UDF
(ΕΝΑ ΔΕΥΤΕΡΟ)
Το UDF είναι μια δυνατότητα MySQL που επιτρέπει στους χρήστες να ορίσουν συναρτήσεις σε C ή C++ και να τις μεταγλωττίσουν σε ένα αρχείο DLL (βιβλιοθήκη δυναμικής σύνδεσης) που επεκτείνει τις δυνατότητες του διακομιστή βάσης δεδομένων.
Οι εισβολείς, σε αυτήν την περίπτωση, δημιουργούν τα δικά τους UDF και τα καταχωρούν στον διακομιστή βάσης δεδομένων ως αρχείο DLL (amd.dll) με τις ακόλουθες κακόβουλες λειτουργίες:
- Λήψη ωφέλιμων φορτίων όπως το bot Ddostf DDoS από απομακρυσμένο διακομιστή.
- Εκτέλεση αυθαίρετων εντολών σε επίπεδο συστήματος που αποστέλλονται από τους εισβολείς.
- Εξαγωγή των αποτελεσμάτων της εκτέλεσης εντολών σε ένα προσωρινό αρχείο και αποστολή τους στους εισβολείς.
Η κατάχρηση UDF διευκολύνει τη φόρτωση του κύριου ωφέλιμου φορτίου αυτής της επίθεσης, του προγράμματος-πελάτη Ddostf bot.
Ωστόσο, μπορεί επίσης να επιτρέψει την εγκατάσταση άλλου κακόβουλου λογισμικού, την εξαγωγή δεδομένων, τη δημιουργία κερκόπορτων για μόνιμη πρόσβαση και πολλά άλλα.
Στοιχεία Ddostf
Το Ddostf είναι ένα botnet κακόβουλου λογισμικού κινεζικής προέλευσης, που εντοπίστηκε για πρώτη φορά στη φύση πριν από περίπου επτά χρόνια και στοχεύει τόσο σε συστήματα Linux όσο και σε συστήματα Windows.
Στα Windows, καθιερώνει την επιμονή εγγράφοντας τον εαυτό του ως υπηρεσία συστήματος κατά την πρώτη εκτέλεση και στη συνέχεια αποκρυπτογραφεί τη διαμόρφωσή του C2 (εντολές και έλεγχος) για να δημιουργήσει μια σύνδεση.
Υπηρεσία συστήματος της Ddostf
(ΕΝΑ ΔΕΥΤΕΡΟ)
Το κακόβουλο λογισμικό δημιουργεί προφίλ στο κεντρικό σύστημα και στέλνει δεδομένα όπως συχνότητα CPU και αριθμός πυρήνων, πληροφορίες γλώσσας, έκδοση Windows, ταχύτητα δικτύου κ.λπ., στο C2 του.
Ο διακομιστής C2 μπορεί να στείλει εντολές επίθεσης DDoS στον πελάτη botnet, συμπεριλαμβανομένων τύπων επίθεσης SYN
Flood
, UDP Flood και HTTP GET/POST Flood, να ζητήσει να σταματήσει τη μετάδοση πληροφοριών κατάστασης συστήματος, να μεταβεί σε μια νέα διεύθυνση C2 ή να πραγματοποιήσει λήψη και εκτέλεση μιας νέας φορτίο επί πληρωμή.
Η ASEC σχολιάζει ότι η ικανότητα του Ddostf να συνδέεται με μια νέα διεύθυνση C2 το κάνει να ξεχωρίζει από τα περισσότερα κακόβουλα προγράμματα botnet DDoS και είναι ένα στοιχείο που του δίνει ανθεκτικότητα έναντι των καταργήσεων.
Η εταιρεία κυβερνοασφάλειας προτείνει στους διαχειριστές της MySQL να εφαρμόζουν τις πιο πρόσφατες ενημερώσεις και να επιλέγουν
μεγάλο
υς, μοναδικούς κωδικούς πρόσβασης για την προστασία των λογαριασμών διαχειριστή από επιθέσεις ωμής βίας και λεξικών.
VIA:
bleepingcomputer.com