Les serveurs MySQL sont ciblés par le botnet malveillant « Ddostf » pour les asservir à une plate-forme DDoS-as-a-Service dont la puissance de feu est louée à d’autres cybercriminels.

Cette campagne a été découverte par des chercheurs de l’AhnLab Security Emergency Response Center (ASEC) lors de leur surveillance régulière des menaces ciblant les serveurs de bases de données.

L’ASEC rapporte que les opérateurs de Ddostf exploitent les vulnérabilités des environnements MySQL non corrigés ou utilisent la force brute pour pirater les serveurs.

Exploitation de l’UDF
Les attaquants analysent Internet à la recherche de serveurs MySQL exposés et, lorsqu’ils les trouvent, tentent de les pirater en forçant brutalement les informations d’identification de l’administrateur.

Pour les serveurs Windows MySQL, les acteurs malveillants utilisent une fonctionnalité appelée fonctions définies par l’utilisateur (UDF) pour exécuter des commandes sur le système piraté.

Module Metasploit pour abuser de l’UDF

UDF est une fonctionnalité MySQL qui permet aux utilisateurs de définir des fonctions en C ou C++ et de les compiler dans un fichier DLL (bibliothèque de liens dynamiques) qui étend les capacités du serveur de base de données.

Dans ce cas, les attaquants créent leurs propres UDF et les enregistrent auprès du serveur de base de données en tant que fichier DLL (amd.dll) avec les fonctions malveillantes suivantes :

  • Téléchargement de charges utiles comme le bot DDoS Ddostf à partir d’un serveur distant.
  • Exécuter des commandes arbitraires au niveau du système envoyées par les attaquants.
  • Affichez les résultats de l’exécution de la commande dans un fichier temporaire et envoyez-les aux attaquants.

L’abus d’UDF facilite le chargement de la charge utile principale de cette attaque, le client bot Ddostf.

Cependant, il peut également potentiellement permettre l’installation d’autres logiciels malveillants, l’exfiltration de données, la création de portes dérobées pour un accès persistant, etc.

Détails de Ddostf
Ddostf est un botnet malveillant d’origine chinoise, repéré pour la première fois il y a environ sept ans, et cible à la fois les systèmes Linux et Windows.

Sous Windows, il établit la persistance en s’enregistrant en tant que service système lors de la première exécution, puis décrypte sa configuration C2 (commande et contrôle) pour établir une connexion.

Service système de Ddostf

Le malware profile le système hôte et envoie des données telles que la fréquence du processeur et le nombre de cœurs, les informations sur la langue, la version de Windows, la vitesse du réseau, etc., à son C2.

Le serveur C2 peut envoyer des commandes d’attaque DDoS au client botnet, notamment les types d’attaques SYN Flood, UDP Flood et HTTP GET/POST Flood, demander d’arrêter la transmission des informations sur l’état du système, de passer à une nouvelle adresse C2 ou de télécharger et d’exécuter une nouvelle adresse. charge utile.

L’ASEC commente que la capacité de Ddostf à se connecter à une nouvelle adresse C2 le distingue de la plupart des logiciels malveillants de type botnet DDoS et constitue un élément qui lui confère une résilience contre les retraits.

La société de cybersécurité suggère aux administrateurs MySQL d’appliquer les dernières mises à jour et de choisir des mots de passe longs et uniques pour protéger les comptes d’administrateur contre les attaques par force brute et par dictionnaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *