Οι διακομιστές MySQL γίνονται στόχος του κακόβουλου botnet με το όνομα ‘Ddostf‘, για να χρησιμοποιηθούν σε μια πλατφόρμα DDoS-as-a-Service, η οποία εκμισθώνει την χρήση της σε άλλους κυβερνοεγκληματίες.
Δείτε επίσης: 3,6 εκατομμύρια MySQL servers βρέθηκαν εκτεθειμένοι στο Διαδίκτυο
Η εν λόγω εκστρατεία εντοπίστηκε από τους ερευνητές του ASEC της AhnLab κατά τη διάρκεια της τυπικής τους παρακολούθησης απειλών που στοχεύουν σε διακομιστές βάσεων δεδομένων. Σύμφωνα με την ASEC, οι υπεύθυνοι του Ddostf εκμεταλλεύονται είτε ευπάθειες σε μη ενημερωμένα περιβάλλοντα MySQL, είτε δοκιμάζουν επανειλημμένα αδύναμους λογαριασμούς διαχειριστή για να παραβιάσουν τους διακομιστές.
Οι επιτιθέμενοι σαρώνουν το διαδίκτυο για διακομιστές MySQL που είναι εκτεθειμένοι και, όταν τους βρίσκουν, προσπαθούν να τους παραβιάσουν με brute-force στα διαπιστευτήρια. Για τους διακομιστές MySQL των Windows, οι δράστες απειλών χρησιμοποιούν μια λειτουργία που ονομάζεται ορισμός χρήστη (UDFs) για να εκτελέσουν εντολές στο παραβιασμένο σύστημα.
Η UDF είναι μια δυνατότητα του MySQL που επιτρέπει στους χρήστες να ορίζουν συναρτήσεις σε C ή C++ και να τις μεταγλωττίζουν σε ένα αρχείο DLL (dynamic link library) που επεκτείνει τις δυνατότητες του διακομιστή βάσης δεδομένων. Οι επιτιθέμενοι, σε αυτήν την περίπτωση, δημιουργούν τις δικές τους UDFs και τις καταχωρούν στον διακομιστή βάσης δεδομένων ως αρχείο DLL (amd.dll) με τις ακόλουθες κακόβουλες λειτουργίες:
- Λήψη φορτίων όπως του Ddostf DDoS bot από απομακρυσμένο διακομιστή.
- Εκτέλεση εντολών σε επίπεδο συστήματος που αποστέλλονται από τους επιτιθέμενους.
- Αποθήκευση αποτελεσμάτων της εκτέλεσης της εντολής σε ένα προσωρινό αρχείο και αποστείλτε τα στους εισβολείς.
Δείτε επίσης: Το OracleIV DDoS Botnet Malware στοχεύει API Instances του Docker Engine
Η κατάχρηση του UDF διευκολύνει τη φόρτωση του κύριου φορτίου αυτής της επίθεσης, του πελάτη του κακόβουλου λογισμικού Ddostf. Ωστόσο, μπορεί επίσης να επιτρέπει την εγκατάσταση άλλων κακόβουλων λογισμικών, τη διαρροή δεδομένων, τη δημιουργία backdoor για μόνιμη πρόσβαση και άλλα.
Το Ddostf είναι ένα κακόβουλο botnet κινεζικής προέλευσης, που εντοπίστηκε για πρώτη φορά περίπου επτά χρόνια πριν και επιτίθεται σε συστήματα Linux και Windows. Στα Windows, δημιουργεί μόνιμη ύπαρξη εγγράφοντας τον εαυτό του ως υπηρεσία του συστήματος κατά την πρώτη εκτέλεση και στη συνέχεια αποκρυπτογραφεί τη διαμόρφωση του C2 (command and control) για να αποκτήσει σύνδεση.
Το malware αναλύει το σύστημα του κεντρικού υπολογιστή και αποστέλλει δεδομένα, όπως συχνότητα CPU και αριθμό πυρήνων, πληροφορίες για τη γλώσσα, έκδοση των Windows, ταχύτητα του δικτύου, κ.λπ., στο C2 του. Ο διακομιστής C2 μπορεί να αποστείλει εντολές επίθεσης DDoS στον πελάτη του botnet, περιλαμβάνοντας τύπους επιθέσεων SYN Flood, UDP Flood και HTTP GET/POST Flood, αιτήματα για διακοπή της μετάδοσης πληροφοριών κατάστασης του συστήματος, μετάβαση σε νέα διεύθυνση C2 ή λήψη και εκτέλεση νέου φορτίου.
Η ASEC σχολιάζει ότι η ικανότητα του Ddostf να συνδεθεί σε μια νέα διεύθυνση C2 το καθιστά ξεχωριστό από τα περισσότερα κακόβουλα λογισμικά botnet DDoS και είναι ένα στοιχείο που του παρέχει ανθεκτικότητα έναντι των αποτροπών. Η εταιρεία κυβερνοασφάλειας συνιστά στους διαχειριστές του MySQL να εφαρμόζουν τις τελευταίες ενημερώσεις και να χρησιμοποιούν ισχυρούς και μοναδικούς κωδικούς για να προστατεύσουν τους λογαριασμούς διαχειριστή από επιθέσεις brute-force και dictionary επιθέσεις.
Δείτε επίσης: Cloudflare: Προβλήματα στο site λόγω DDoS επίθεσης
Για να προστατεύσετε τους διακομιστές MySQL από το botnet ‘Ddostf’, μπορείτε να λάβετε τα ακόλουθα αντίμετρα:
- Ενημερώστε το λογισμικό MySQL σας στην τελευταία έκδοση. Οι ενημερώσεις περιλαμβάνουν συχνά βελτιώσεις ασφαλείας και διορθώσεις για γνωστά προβλήματα.
- Εφαρμόστε ισχυρά συνθήματα πρόσβασης για τον διακομιστή MySQL σας. Χρησιμοποιήστε μεγάλους, πολύπλοκους και μοναδικούς κωδικούς πρόσβασης και αποφύγετε τη χρήση προεπιλεγμένων διαπιστευτηρίων.
- Περιορίστε την πρόσβαση στον διακομιστή MySQL μόνο σε αποδεκτές διευθύνσεις IP. Μπορείτε να χρησιμοποιήσετε τη λειτουργία ελέγχου πρόσβασης του διακομιστή MySQL για να περιορίσετε τις συνδέσεις μόνο από εμπιστευτικές πηγές.
- Εγκαταστήστε ένα λογισμικό προστασίας από DDoS στον διακομιστή σας. Αυτό το λογισμικό μπορεί να ανιχνεύει και να αποκλείει την κακόβουλη κίνηση που προέρχεται από το botnet ‘Ddostf’.
- Παρακολουθείστε την κίνηση του δικτύου σας για απροσδόκητη ή αυξημένη κίνηση που μπορεί να υποδείξει επίθεση DDoS. Χρησιμοποιήστε εργαλεία παρακολούθησης δικτύου για να εντοπίσετε ανωμαλίες και να πάρετε άμεσα μέτρα ασφαλείας.
- Κάντε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αν πέσετε θύμα επίθεσης DDoS και ο διακομιστής σας παραβιαστεί, θα έχετε τα δεδομένα σας ασφαλή και θα μπορείτε να τα ανακτήσετε εύκολα.
Πηγή: bleepingcomputer
