Araştırmacılar, savunmasız MySQL sunucularının, Dağıtılmış Hizmet Reddi (DDoS) saldırılarını başlatabilen Ddostf DDoS botu ile konuşlandırıldığını buldu.
İlk olarak 2016 civarında tanımlanan Ddostf, hem Windows hem de Linux platformlarını desteklemesiyle tanınıyor ve Çin’de oluşturulduğuna inanılıyor.
AhnLab Güvenlik Acil Durum Müdahale Merkezi’ne göre, Windows ortamlarında çalışan MySQL sunucularını hedef alan saldırılar sürekli olarak keşfediliyor.
Önceki analiz, Gh0st RAT ve AsyncRAT kötü amaçlı yazılım türlerinin, duyarlı MySQL sunucularını hedef alan çoğu kötü amaçlı yazılım türünden sorumlu olduğunu gösteriyor.
MySQL Sunucularına Saldıran Ddostf DDoS Bot Kötü Amaçlı Yazılım
Ddostf’un Linux ortamlarında kullanılabilen ELF formatı ve Windows ortamlarında kullanılabilen PE formatı bulunmaktadır.
“ddos.tf” dizesinin Ddostf’un ikili dosyasına dahil edilmesi ayırt edici bir özelliktir. Bir hizmet olarak kaydolmadan önce, Ddostf çalıştırıldığında kendisini %SystemRoot% dizinine rastgele bir adla kopyalar.
İlk bağlandığında, ele geçirilen cihazdan en temel verileri toplar ve bunu C&C sunucusuna iletir, raporu okur.
StorageGuard yüzlerce depolama ve yedekleme cihazındaki yanlış güvenlik yapılandırmalarını ve güvenlik açıklarını tarar, tespit eder ve düzeltir.
StorageGuard’ı Ücretsiz Deneyin
C&C sunucusu, ele geçirilen sistemden bilgi aldığında komutlara ek olarak verilerle yanıt verir. Örneğin belirli DDoS saldırı yöntemleri veya indirme komutları durumunda indirme URL’sini içerir.
SYN Flood, UDP Flood ve HTTP GET/POST Flood saldırıları, dahili DDoS saldırılarında kullanılan tekniklerden yalnızca birkaçıdır.
Ayrıca Ddostf, C&C sunucusundan yeni alınan bir adresle bağlantı kurabilmesi ve orada belirli bir süre boyunca komutları çalıştırabilmesi açısından benzersizdir.
Bu, tehdit aktörü Ddostf’un çok sayıda sisteme bulaşabileceğini ve ardından DDoS saldırılarını bir hizmet olarak satabileceğini gösteriyor.
Sözlük ve Kaba Kuvvet SaldırılarıSunucular
Tehdit aktörleri genellikle saldırıları için olası hedefleri bulmak amacıyla taramaları kullanır. Tarayıcılar, herkese açık sistemler arasında MySQL sunucularının kullandığı 3306/TCP portunu kullanan sistemleri arar.
Tehdit aktörleri daha sonra sözlük veya kaba kuvvet saldırıları kullanarak sistemi hedefleyebilir.
Sistem kullanıcı kimlik bilgilerini yanlış yönetirse tehdit aktörleri yönetici hesabı kimlik bilgilerini alabilir.
Ayrıca sistem, güvenlik açıkları içeren yamalanmamış bir sürüm çalıştırıyorsa tehdit aktörleri bu güvenlik açıklarından yararlanabilir.
Öneri
- Yöneticiler, hesapları için güçlü şifreler belirlemeli ve bunları düzenli olarak sıfırlamalıdır.
- En son düzeltmelerin uygulanması, güvenlik açığı saldırılarının önlenmesine de yardımcı olacaktır.
- Dışarıdan erişilebilen veritabanı sunucuları için güvenlik duvarları gibi güvenlik programlarını kullanın.
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.