I server MySQL stanno affrontando una nuova minaccia: il botnet ‘Ddostf’, specializzato in attacchi DDoS-as-a-Service. Questa campagna è stata scoperta dai ricercatori dell’AhnLab Security Emergency Response Center (ASEC), che hanno notato un aumento di attacchi mirati ai server di database.
Attacchi mirati e sfruttamento di UDF
Gli operatori di Ddostf sfruttano vulnerabilità in ambienti MySQL non aggiornati o utilizzano tecniche di brute-force per accedere agli account amministrativi con credenziali deboli. Una volta all’interno, per i server MySQL su Windows, gli attaccanti utilizzano una funzionalità chiamata funzioni definite dall’utente (UDF) per eseguire comandi sul sistema compromesso. Queste UDF permettono di definire funzioni in C o C++ e compilarle in un file DLL (dynamic link library), estendendo le capacità del server di database. Gli attaccanti creano UDF dannose, le registrano nel server di database come file DLL (amd.dll) e le utilizzano per scaricare payload come il bot DDoS Ddostf da un server remoto, eseguire comandi di sistema arbitrari e inviare i risultati agli attaccanti.
Dettagli su Ddostf
Ddostf è un botnet di origine cinese, attivo da circa sette anni e mira sia ai sistemi Linux che Windows. Su Windows, stabilisce la persistenza registrandosi come servizio di sistema e poi decifra la sua configurazione C2 (command and control) per stabilire una connessione. Il malware profila il sistema ospite e invia dati come la frequenza della CPU, il numero di core, informazioni sulla lingua, versione di Windows, velocità di rete, ecc., al suo C2.
Il server C2 può inviare comandi di attacco DDoS al client del botnet, inclusi tipi di attacco SYN Flood, UDP Flood e HTTP GET/POST Flood, richiedere di interrompere la trasmissione delle informazioni sullo stato del sistema, passare a un nuovo indirizzo C2 o scaricare ed eseguire un nuovo payload. La capacità di Ddostf di connettersi a un nuovo indirizzo C2 lo rende diverso dalla maggior parte dei malware botnet DDoS ed è un elemento che gli conferisce resilienza contro i tentativi di abbattimento.
Consigli per la sicurezza
ASEC suggerisce agli amministratori di MySQL di applicare gli ultimi aggiornamenti e scegliere password lunghe e uniche per proteggere gli account amministrativi da attacchi di brute force e dizionario.