17/11/23
Компания AhnLab обнаружила атаки на уязвимые серверы MySQL с помощью бота Ddostf для DDoS-атак. Ddostf, впервые выявленный в 2016 году, поддерживает как Windows, так и Linux и, предположительно, был разработан в Китае. Компания AhnLab наблюдает постоянные атаки на серверы MySQL, работающие в среде Windows. Об этом пишет Securitylab.
DDoS-бот Ddostf имеет формат ELF для сред Linux и формат PE для Windows. Отличительной особенностью Ddostf является наличие строки «ddos.tf» в его бинарном коде. При запуске Ddostf копирует себя в директорию «%SystemRoot%» под случайным именем и регистрирует себя как службу.
После первого подключения бот собирает базовые данные с заражённого устройства и передаёт их на сервер управления и контроля (Command and Control, C2), который в ответ отправляет данные, включая URL для загрузки и команды для определённых методов DDoS-атаки.
Ddostf использует такие методы атак, как SYN-флуд, UDP-флуд и HTTP GET/POST флуд. Кроме того, Ddostf может устанавливать соединение с новыми адресами, полученными от C2-сервера, и выполнять команды в течение определённого времени, что указывает на возможность массового заражения систем и последующей продажи DDoS-атак как услуги.
Обычно злоумышленники используют сканирование для поиска потенциальных целей, особенно систем, использующих порт 3306/TCP, применяемый серверами MySQL. Затем киберпреступники могут атаковать систему, используя атаки методом перебора или брутфорс-атаки.
Если система неправильно управляет учётными данными пользователя, злоумышленники могут получить доступ к учётным записям администратора. Также могут быть использованы уязвимости в необновлённых версиях ПО.
