Servidores MySQL estão sendo alvo da botnet Ddostf que tem como propósito “escravizá-los” para uma plataforma de ataques distribuídos de negação de serviço (DDoS) como serviço, que depois é alugada para outros cibercriminosos. A campanha foi descoberta por pesquisadores do AhnLab Security Emergency Response Center (ASEC) durante monitoramento regular de ameaças direcionadas a servidores de banco de dados.
A ASEC relata que os operadores do Ddostf aproveitam vulnerabilidades em ambientes MySQL não corrigidos ou credenciais de conta de administrador fracas para realizar ataques de força bruta a servidores.
Os invasores estão vasculhando a internet em busca de servidores MySQL expostos e, quando os encontram, tentam violá-los forçando credenciais de administrador fracas. Para servidores Windows MySQL, os operadores de ameaças usam um recurso chamado UDFs (funções definidas pelo usuário) para executar comandos no sistema violado.
UDF é um recurso do MySQL que permite aos usuários definir funções em linguagem C ou C++ e compilá-las em um arquivo DLL (biblioteca de vínculo dinâmico) que estende os recursos do servidor de banco de dados. Os invasores, neste caso, criam suas próprias UDFs e as registram no servidor de banco de dados como um arquivo DLL (amd.dll). A exploração da UDF facilita o carregamento da carga principal desse ataque, o cliente de bot Ddostf. Ele também pode potencialmente permitir a instalação de outros malwares, exfiltração de dados, criação de backdoors para acesso persistente e muito mais.
Ddostf é uma botnet de origem chinesa, detectada pela primeira vez há cerca de sete anos, e tem como alvo sistemas Linux e Windows. No Windows, ele estabelece persistência registrando-se como um serviço do sistema na primeira execução e, em seguida, descriptografa sua configuração de comando e controle (C&C) para estabelecer uma conexão.
Veja isso
Servidores SQL e MySQL são alvo do malware Gh0stCringe
Hackers invadem servidores SQL para implantar ransomware
O malware traça o perfil do sistema host e envia dados como frequência da CPU e número de núcleos, informações de idioma, versão do Windows, velocidade da rede, etc., para seu servidor C&C. Este pode enviar comandos de ataque DDoS para a botnet cliente — incluindo ataque SYN Flood, UDP Flood e HTTP GET/POST Flood —, solicitar a interrupção da transmissão de informações de status do sistema, alternar para um novo endereço C2 ou baixar e executar uma nova carga útil.
A ASEC comenta que a capacidade do Ddostf de se conectar a um novo endereço C&C faz com que ele se destaque da maioria dos malwares de botnet DDoS e é um elemento que lhe dá resiliência contra remoções.
Para ter acesso ao relatório completo da ASEC, em inglês, clique aqui.
