Botnet Ddostf

Le botnet malveillant « Ddostf » se concentre activement sur les serveurs MySQL, dans le but de les détourner pour une plate-forme DDoS-as-a-Service qui loue sa puissance de feu à d'autres cybercriminels. Selon les conclusions des chercheurs en cybersécurité, les opérateurs de Ddostf exploitent les vulnérabilités des environnements MySQL qui n'ont pas été corrigés ou utilisent des attaques par force brute sur les informations d'identification faibles des comptes d'administrateur pour compromettre les serveurs ciblés.

Les pirates derrière le botnet Ddostf exploitent des fonctions légitimes

Les cyber-attaquants analysent activement Internet à la recherche de serveurs MySQL exposés et, une fois identifiés, emploient des techniques de force brute pour les pirater. Dans le cas des serveurs Windows MySQL, les acteurs malveillants utilisent une fonctionnalité appelée fonctions définies par l'utilisateur (UDF) pour exécuter des commandes sur le système compromis.

UDF est une fonctionnalité MySQL qui permet aux utilisateurs de définir des fonctions en C ou C++, en les compilant dans un fichier DLL (bibliothèque de liens dynamiques) pour étendre les capacités du serveur de base de données. Dans ce scénario, les attaquants créent leurs propres UDF et les enregistrent auprès du serveur de base de données, en nommant le fichier DLL « amd.dll » et en incorporant des fonctions malveillantes, notamment :

• Téléchargement de charges utiles telles que le bot Ddostf DDoS à partir d'un serveur distant.
• Exécuter des commandes arbitraires au niveau du système envoyées par les attaquants.
• Capturer les résultats de l'exécution des commandes, les stocker dans un fichier temporaire et les renvoyer aux attaquants.

L’exploitation des UDF sert de mécanisme pour charger la charge utile principale de l’attaque : le client bot Ddostf. Cependant, cet abus des UDF ouvre également la porte à l’installation potentielle d’autres logiciels malveillants, à l’exfiltration de données, à l’établissement de portes dérobées pour un accès persistant et à diverses autres activités malveillantes.

Le botnet Ddostf peut se connecter à de nouvelles adresses de commande et de contrôle (C2)

Originaire de Chine, Ddostf est un botnet malveillant apparu il y a environ sept ans, ciblant à la fois les systèmes Linux et Windows.

Lors de l'infiltration des systèmes Windows, le malware assure la persistance en s'enregistrant en tant que service système lors de son exécution initiale. Par la suite, il déchiffre sa configuration Command-and-Control (C2) pour établir une connexion. Le malware collecte ensuite des informations sur le système hôte, notamment la fréquence du processeur, le nombre de cœurs, les détails de la langue, la version de Windows, la vitesse du réseau, etc. Ces données sont transmises au serveur C2.

Le serveur C2 a la capacité d'émettre diverses commandes au client du botnet, allant des instructions d'attaque DDoS (telles que les attaques SYN Flood, UDP Flood et HTTP GET/POST Flood) aux demandes d'interruption de la transmission des informations sur l'état du système, passant à une nouvelle adresse C2, ou télécharger et exécuter une nouvelle charge utile. La fonctionnalité unique de Ddostf réside dans sa capacité à se connecter à une nouvelle adresse C2, ce qui lui confère une résilience contre les tentatives de retrait, ce qui le distingue de la majorité des logiciels malveillants de type botnet DDoS.

À la lumière de ces évolutions, les experts en cybersécurité recommandent aux administrateurs MySQL de rester vigilants en appliquant les dernières mises à jour et en mettant en œuvre des mesures de sécurité robustes, telles que l'utilisation de mots de passe longs et uniques. Cela permet de protéger les comptes d’administrateur contre les attaques potentielles par force brute et par dictionnaire.