Ddostf-Botnet

Das Malware-Botnetz „Ddostf“ konzentriert sich aktiv auf MySQL-Server und zielt darauf ab, diese für eine DDoS-as-a-Service-Plattform zu kapern, die ihre Schlagkraft an andere Cyberkriminelle vermietet. Den Erkenntnissen von Cybersicherheitsforschern zufolge nutzen die Betreiber von Ddostf Schwachstellen in MySQL-Umgebungen aus, die nicht gepatcht wurden, oder nutzen Brute-Force-Angriffe auf schwache Anmeldeinformationen von Administratorkonten, um die Zielserver zu gefährden.

Die Hacker hinter dem Ddostf-Botnet nutzen legitime Funktionen aus

Cyber-Angreifer durchsuchen das Internet aktiv nach exponierten MySQL-Servern und setzen, sobald sie identifiziert werden, Brute-Force-Techniken ein, um in diese einzudringen. Im Fall von Windows-MySQL-Servern nutzen Bedrohungsakteure eine Funktion namens benutzerdefinierte Funktionen (UDFs), um Befehle auf dem kompromittierten System auszuführen.

UDF ist eine MySQL-Funktion, die es Benutzern ermöglicht, Funktionen in C oder C++ zu definieren und diese in eine DLL-Datei (Dynamic Link Library) zu kompilieren, um die Funktionen des Datenbankservers zu erweitern. In diesem Szenario erstellen Angreifer ihre eigenen UDFs und registrieren sie beim Datenbankserver, nennen die DLL-Datei „amd.dll“ und integrieren schädliche Funktionen, darunter:

• Herunterladen von Payloads wie dem Ddostf-DDoS-Bot von einem Remote-Server.
• Ausführen willkürlicher, von den Angreifern gesendeter Befehle auf Systemebene.
• Erfassen Sie die Ergebnisse der Befehlsausführung, speichern Sie sie in einer temporären Datei und senden Sie sie an die Angreifer zurück.

Die Ausnutzung von UDFs dient als Mechanismus zum Laden der primären Nutzlast des Angriffs – des Ddostf-Bot-Clients. Allerdings öffnet dieser Missbrauch von UDFs auch Tür und Tor für die potenzielle Installation anderer Malware, Datenexfiltration, die Einrichtung von Hintertüren für dauerhaften Zugriff und verschiedene andere böswillige Aktivitäten.

Das Ddostf-Botnetz kann eine Verbindung zu neuen Command-and-Control-Adressen (C2) herstellen

Ddostf ist ein aus China stammendes Malware-Botnet, das vor etwa sieben Jahren entstand und sowohl auf Linux- als auch auf Windows-Systeme abzielt.

Beim Eindringen in Windows-Systeme stellt die Malware ihre Persistenz sicher, indem sie sich bei der ersten Ausführung als Systemdienst registriert. Anschließend entschlüsselt es seine Command-and-Control (C2)-Konfiguration, um eine Verbindung herzustellen. Die Malware sammelt dann Informationen über das Hostsystem, einschließlich CPU-Frequenz, Kernanzahl, Sprachdetails, Windows-Version, Netzwerkgeschwindigkeit und mehr. Diese Daten werden an den C2-Server übermittelt.

Der C2-Server ist in der Lage, verschiedene Befehle an den Botnet-Client zu senden, die von DDoS-Angriffsanweisungen (wie SYN-Flood-, UDP-Flood- und HTTP-GET/POST-Flood-Angriffe) bis hin zu Anfragen zur Einstellung der Übertragung von Systemstatusinformationen reichen eine neue C2-Adresse oder das Herunterladen und Ausführen einer neuen Nutzlast. Die einzigartige Funktion von Ddostf liegt in seiner Fähigkeit, eine Verbindung zu einer neuen C2-Adresse herzustellen, was ihm Widerstandsfähigkeit gegen Deaktivierungsversuche verleiht und ihn von der Mehrheit der DDoS-Botnet-Malware unterscheidet.

Angesichts dieser Entwicklungen empfehlen Cybersicherheitsexperten MySQL-Administratoren, wachsam zu bleiben, indem sie die neuesten Updates anwenden und robuste Sicherheitsmaßnahmen implementieren, wie z. B. die Verwendung langer und eindeutiger Passwörter. Dies trägt dazu bei, Administratorkonten vor potenziellen Brute-Force- und Wörterbuchangriffen zu schützen.