O O Centro de Resposta a Emergências de Segurança AhnLab (ASEC) tem confirmou que um botnet de malware conhecido como’Ddostf‘, detectado originalmente há sete anos, tem como alvo ativo os servidores MySQL. Os pesquisadores da ASEC, por meio do monitoramento vigilante de ameaças, descobriram que o botnet emprega métodos de força bruta para se infiltrar nos servidores, adivinhando credenciais administrativas fracas e explorando vulnerabilidades não corrigidas.
Compreendendo a técnica de exploração
Para servidores MySQL baseados em Windows, os operadores Ddostf manipulam um recurso do MySQL chamado Funções Definidas pelo Usuário (UDFs) para executar comandos prejudiciais no sistema comprometido. Normalmente, as UDFs permitem que os usuários estabeleçam funções em linguagens C ou C++, que são compiladas em uma biblioteca de vínculo dinâmico (DLL) para estender a funcionalidade do servidor.
No entanto, os invasores distorceram esse recurso para fins maliciosos, criando UDFs desonestos e registrá-los no servidor, permitindo o carregamento de sua carga primária – o cliente bot Ddostf. Essa manipulação não apenas facilita o ataque primário, mas também expõe o sistema a novas instalações de malware, potencial exfiltração de dados e criação de backdoors para persistência injustificada.
Medidas de mitigação e proteção
Devido à sua capacidade de se conectar a comando e controle alternativos (C2 ) servidores, o Ddostf exibe uma resiliência alarmante contra interrupções ou quedas. O design do malware permite disseminar perfis de sistema abrangentes – incluindo especificações de CPU, detalhes de idioma, versão do sistema operacional e capacidades de rede – de volta aos seus servidores C2. Ele é capaz de iniciar vários tipos de ataques distribuídos de negação de serviço (DDoS), como inundações SYN, inundações UDP e inundações HTTP GET/POST, conforme comandado por seus controladores.
Os especialistas em segurança cibernética da ASEC recomendam Os administradores do MySQL aplicam as atualizações de segurança mais recentes e impõem senhas fortes e exclusivas para contas administrativas. Ao fazer isso, eles podem reduzir significativamente o risco de sucumbir a ataques de dicionário e tentativas de força bruta. À medida que as organizações se tornam cada vez mais dependentes de servidores de bases de dados para as operações diárias, a escala e a sofisticação de ameaças como o Ddostf sugerem uma maior necessidade de vigilância e de medidas adequadas de segurança cibernética.
