เซิร์ฟเวอร์ MySQL ที่กำหนดเป้าหมายโดยบอตเน็ต DDoS-as-a-Service ‘Ddostf’


29 November 2566
14
เซิร์ฟเวอร์ MySQL ที่กำหนดเป้าหมายโดยบอตเน็ต DDoS-as-a-Service 'Ddostf'

เซิร์ฟเวอร์ MySQL กำลังตกเป็นเป้าหมายของบอทเน็ตมัลแวร์ ‘Ddostf’ เพื่อตกเป็นทาสของแพลตฟอร์ม DDoS-as-a-Service ซึ่งอำนาจการยิงถูกเช่าให้กับอาชญากรไซเบอร์รายอื่น แคมเปญนี้ถูกค้นพบโดยนักวิจัยที่ AhnLab Security Emergency Response Center (ASEC) ในระหว่างการตรวจสอบภัยคุกคามที่มุ่งเป้าไปที่เซิร์ฟเวอร์ฐานข้อมูลเป็นประจำ ASEC รายงานว่าผู้ให้บริการของ Ddostf ใช้ประโยชน์จากช่องโหว่ในสภาพแวดล้อม MySQL ที่ไม่ได้รับการติดตั้งหรือข้อมูลรับรองบัญชีผู้ดูแลระบบที่อ่อนแอแบบเดรัจฉานเพื่อละเมิดเซิร์ฟเวอร์

การใช้ประโยชน์จาก UDF

ผู้โจมตีกำลังสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ MySQL ที่ถูกเปิดเผย และเมื่อพบก็พยายามเจาะข้อมูลเหล่านั้นโดยใช้ข้อมูลประจำตัวของผู้ดูแลระบบที่บังคับดุร้ายสำหรับเซิร์ฟเวอร์ Windows MySQL ผู้คุกคามจะใช้คุณสมบัติที่เรียกว่าฟังก์ชันที่ผู้ใช้กำหนด (UDF) เพื่อรันคำสั่งบนระบบที่ถูกละเมิด UDF เป็นคุณสมบัติ MySQL ที่ให้ผู้ใช้สามารถกำหนดฟังก์ชั่นใน C หรือ C++ และคอมไพล์เป็นไฟล์ DLL (ไลบรารีลิงก์แบบไดนามิก) ที่ขยายขีดความสามารถของเซิร์ฟเวอร์ฐานข้อมูล ในกรณีนี้ผู้โจมตีจะสร้าง UDF ของตนเองและลงทะเบียนกับเซิร์ฟเวอร์ฐานข้อมูลเป็นไฟล์ DLL (amd.dll) โดยมีฟังก์ชันที่เป็นอันตรายดังต่อไปนี้:การดาวน์โหลดเพย์โหลด เช่น บอต Ddostf DDoS จากเซิร์ฟเวอร์ระยะไกล การดำเนินการคำสั่งระดับระบบตามอำเภอใจที่ส่งโดยผู้โจมตี ส่งออกผลลัพธ์ของการดำเนินการคำสั่งไปยังไฟล์ชั่วคราวและส่งไปยังผู้โจมตี การใช้ UDF ในทางที่ผิดช่วยอำนวยความสะดวกในการโหลดเพย์โหลดหลักของการโจมตีนี้ ซึ่งก็คือไคลเอ็นต์บอท Ddostf อย่างไรก็ตาม มันยังอาจทำให้เกิดการติดตั้งมัลแวร์อื่นๆ การขโมยข้อมูล การสร้างแบ็คดอร์เพื่อการเข้าถึงแบบถาวร และอื่นๆ อีกมากมาย