Investigadores descubrieron que se están desplegando servidores MySQL vulnerables con el bot DDoS Ddostf, capaz de lanzar ataques de denegación de servicio distribuidos (DDoS). Analistas del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) han compartido detalles alarmantes de una nueva campaña dirigida a servidores MySQL y hosts Docker con malware DDoS.
Según AhnLab, los ataques dirigidos a MySQL en Windows han aumentado en frecuencia con servidores MySQL vulnerables infectados con ‘Ddostf’, una botnet con capacidad DDoS de origen chino que ha existido desde al menos 2016.
Los actores maliciosos escanean Internet en busca de servidores MySQL de acceso público utilizando el puerto TCP 3306, y luego intentan comprometerlos ya sea utilizando credenciales débiles o explotando vulnerabilidades conocidas. Tras ser vulnerados, instalan la red de bots DDoS Ddostf para lanzar ataques de denegación de servicio distribuidos (DDoS) contra otros servidores.
Las instancias MySQL son un objetivo común en este tipo de campañas debido a su uso generalizado en entornos Windows y Linux. Aunque MS-SQL es el servicio de bases de datos preferido por los usuarios de Windows, los servidores MySQL también se utilizan habitualmente en Windows, lo que convierte a los sistemas que los ejecutan en un objetivo prioritario para los ciberdelincuentes.
Según los datos de los registros de Smart Defense (ASD) de AhnLab, la mayoría del malware dirigido a servidores MySQL vulnerables eran variantes de Gh0st RAT, pero también se observaron casos de AsyncRAT y, recientemente, ha habido este repunte en el uso del malware Ddostf.
Mecanismo de operación del malware Ddostf
Ddostf es un potente malware que se copia a sí mismo con un nombre aleatorio en el directorio %SystemRoot% y se registra como servicio antes de descifrar la cadena URL cifrada del servidor C2 para conectarse al servidor de los atacantes. Puede recopilar datos del sistema y transferirlos al servidor C2.
La botnet es única porque puede conectarse a una nueva dirección desde el servidor C2 y ejecutar comandos allí durante un tiempo limitado. Esto ayuda al operador de la red de bots Ddostf a infectar múltiples sistemas y vender ataques DDoS como un servicio. Además, Ddostf puede dirigirse a sistemas Linux y Windows, ya que es compatible con los formatos ELF y PE y puede lograr la persistencia.
Los atacantes primero buscan sistemas de acceso público utilizando el puerto 3306/TCP y después de acceder al servidor (aquellos con vulnerabilidades conocidas o credenciales débiles), utilizan ataques de fuerza bruta o de diccionario contra el sistema.
A continuación, los atacantes cargan una DLL maliciosa como biblioteca UDF (función definida por el usuario), que les permite ejecutar comandos en el sistema infectado y desplegar y ejecutar el malware Ddostf.
Una vez que ha logrado la persistencia en el sistema infectado, recopila información relevante y la envía al servidor de comando y control (C&C). A continuación, espera órdenes para lanzar ataques DDoS como SYN, UDP e inundaciones HTTP GET/POST.
«Aunque la mayoría de los comandos que admite Ddostf son similares a los de los típicos bots DDoS, una característica distintiva de Ddostf es su capacidad para conectarse a una dirección recién recibida del servidor C&C y ejecutar allí los comandos durante un cierto tiempo», explica AhnLab.
El malware parece estar diseñado exclusivamente para lanzar ataques DDoS y los investigadores creen que el actor de la amenaza está operando un servicio de DDoS-as-a-Service.
Explotación de UDF
Los atacantes rastrean Internet en busca de servidores MySQL expuestos y, cuando los encuentran, intentan vulnerarlos forzando las credenciales de administrador.
Para los servidores MySQL de Windows, los actores de la amenaza utilizan una característica llamada funciones definidas por el usuario (UDF) para ejecutar comandos en el sistema vulnerado.
UDF es una característica de MySQL que permite a los usuarios definir funciones en C o C++ y compilarlas en un archivo DLL (dynamic link library) que amplía las capacidades del servidor de base de datos.
Los atacantes, en este caso, crean sus propias UDFs y las registran en el servidor de base de datos como un archivo DLL (amd.dll) con las siguientes funciones maliciosas:
- Descarga de cargas útiles como el bot DDoS Ddostf desde un servidor remoto.
- Ejecutar comandos arbitrarios a nivel de sistema enviados por los atacantes.
- Imprimir los resultados de la ejecución de comandos en un archivo temporal y enviarlos a los atacantes.
El abuso de UDF facilita la carga del payload principal de este ataque, el cliente del bot Ddostf.
Sin embargo, también puede permitir potencialmente la instalación de otro malware, la exfiltración de datos, la creación de puertas traseras para el acceso persistente, etc.
Acerca de los Ataques de diccionario y de Fuerza bruta
Generalmente, los actores de amenazas utilizan escáneres para encontrar posibles objetivos para sus ataques. Los escáneres buscan sistemas que utilicen el puerto 3306/TCP, utilizado por los servidores MySQL, entre los sistemas de acceso público.
Los actores de amenazas pueden entonces atacar el sistema utilizando ataques de diccionario o de fuerza bruta. Si el sistema gestiona las credenciales de usuario de forma inadecuada, los actores de amenazas pueden obtener las credenciales de la cuenta de administrador.
Además, si el sistema está ejecutando una versión sin parches con vulnerabilidades, los actores de amenazas pueden ser capaces de hacer uso de estas vulnerabilidades.
Se requiere parchear los servidores
Los servidores de bases de datos suelen ser blanco de ataques debido a la mala gestión de las credenciales de las cuentas. Los administradores deben utilizar contraseñas seguras, además de aplicar los últimos parches para proteger sus servidores. Se pueden utilizar cortafuegos para restringir el acceso a agentes externos, y un servicio de mitigación de DDoS puede ayudar a protegerse contra ataques a gran escala.
Según los investigadores, los autores de la amenaza no tienen intención de utilizar la red de bots. En su lugar, están creando un servicio DDoS-as-a-Service, en el que otros hackers pueden alquilar el servicio y utilizar la infraestructura para sus propios ataques, previo pago. Por el momento se desconoce el coste del uso de la red de bots Ddostf.
También cabe mencionar que el UDF malicioso puede hacer más cosas que simplemente descargar el malware. Los hackers también pueden utilizarlo para robar datos confidenciales del servidor, configurar el acceso persistente, etc.
La mejor forma de protegerse contra estos ataques, concluyen los investigadores, es asegurarse de que los servidores MySQL se actualizan con regularidad y de no demorarse en la instalación de los parches. Además, disponer de credenciales de acceso sólidas que se actualicen a intervalos regulares hará que los ataques de fuerza bruta sean casi imposibles de realizar.
Referencia:
https://www.hackread.com/ddostf-botnet-ddos-attacks-mysql-docker-hosts/
