Ddostf ボットネット

「Ddostf」マルウェア ボットネットは、MySQL サーバーに積極的に焦点を当てており、サイバー犯罪者仲間に火力を貸与する DDoS-as-a-Service プラットフォームのためにサーバーをハイジャックすることを目指しています。サイバーセキュリティ研究者の調査結果によると、Ddostf のオペレーターは、パッチが適用されていない MySQL 環境の脆弱性を悪用したり、脆弱な管理者アカウントの資格情報に対してブルートフォース攻撃を行ったりして、標的のサーバーを侵害します。

Ddostf ボットネットの背後にいるハッカーが正規の機能を悪用

サイバー攻撃者は、インターネット上で露出した MySQL サーバーを積極的にスキャンし、サーバーを特定すると、ブルートフォース手法を使用してサーバーに侵入します。 Windows MySQL サーバーの場合、攻撃者はユーザー定義関数 (UDF) として知られる機能を利用して、侵害されたシステム上でコマンドを実行します。

UDF は、ユーザーが C または C++ で関数を定義し、それを DLL (ダイナミック リンク ライブラリ) ファイルにコンパイルしてデータベース サーバーの機能を拡張できるようにする MySQL の機能です。このシナリオでは、攻撃者は独自の UDF を作成してデータベース サーバーに登録し、DLL ファイルに「amd.dll」という名前を付け、次のような悪意のある機能を組み込みます。

• Ddostf DDoS ボットなどのペイロードをリモート サーバーからダウンロードします。
• 攻撃者によって送信された任意のシステムレベルのコマンドを実行します。
• コマンドの実行結果をキャプチャし、一時ファイルに保存して、攻撃者に送り返します。

UDF の悪用は、攻撃の主要なペイロードである Ddostf ボット クライアントを読み込むメカニズムとして機能します。ただし、この UDF の悪用は、他のマルウェアのインストール、データの引き出し、永続的なアクセスのためのバックドアの確立、およびその他のさまざまな悪意のある活動への扉も開きます。

Ddostf ボットネットは新しいコマンド アンド コントロール (C2) アドレスに接続できる

Ddostf は中国発のマルウェア ボットネットで、約 7 年前に出現し、Linux と Windows システムの両方をターゲットにしています。

このマルウェアは Windows システムに侵入すると、最初の実行時に自身をシステム サービスとして登録することで永続性を確保します。その後、コマンド アンド コントロール (C2) 構成を復号化して接続を確立します。次に、マルウェアは、CPU 周波数、コア数、言語の詳細、Windows のバージョン、ネットワーク速度などを含むホスト システムに関する情報を収集します。このデータは C2 サーバーに送信されます。

C2 サーバーは、DDoS 攻撃指示 (SYN フラッド、UDP フラッド、HTTP GET/POST フラッド攻撃など) から、システム ステータス情報の送信停止要求まで、さまざまなコマンドをボットネット クライアントに発行する機能を備えています。新しい C2 アドレス、または新しいペイロードをダウンロードして実行します。 Ddostf のユニークな機能は、新しい C2 アドレスに接続する機能にあり、削除の試みに対する回復力を提供し、大部分の DDoS ボットネット マルウェアとは異なります。

こうした展開を踏まえ、サイバーセキュリティの専門家は、MySQL 管理者に対し、最新のアップデートを適用し、長くて固有のパスワードを使用するなどの堅牢なセキュリティ対策を実装することで、常に警戒を続けることを推奨しています。これは、潜在的なブルート フォース攻撃や辞書攻撃から管理者アカウントを保護するのに役立ちます。