DdostfはDDoSを行うことのできるマルウェアです。
感染が広がっていることが確認されています。
- ターゲットはMySQL
MySQLはオープンソースのリレーショナルデータベース管理システムソフトウェアです。
多くのOS環境で利用することができます。 - 想定OSはLinuxとWindows
DdostfはLinuxとWindowsで動作します。
Linux用にELFバイナリがあり、Windows用にはPEバイナリがあります。 - 始まり方
まずはネットワーク的に到達可能なMySQLを列挙します。
通常MySQLは3306/TCPを使用します。
そして、ブルートフォース攻撃をしかけたり、脆弱性をつくことを通じて、アクセスを獲得します。 - UDF機能の設置
Ddostfの設置に先立ち、UDF機能を持つファイルが設置されます。
UDFはUser Defined Functionです。
UDFはMySQLを拡張するための仕組みで、ユーザは自由にMySQLに関数を追加することができます。
MySQLのソースコードにUDFのサンプルが含まれていますので、だれでも自分で作ることができます。
UDFはこのDdostf以前からいろいろな攻撃で利用されてきているものですが、Ddostfでも使用されます。
このUDFはC2の指令でコマンドを実行する機能と、ファイルをダウンロードする機能が実装されています。 - Ddostfの設置
攻撃者はUDFのdownloader()関数を使います。
外部からDdostfのファイルを侵害先に転送し、サービスとして設置されます。
Ddostfのファイルはランダムなファイル名として置かれ、サービス名もランダム名前で登録されます。
ファイルとしては名前がランダムなのですが、バイナリで内容を確認すると「ddos.tf」という文字列が含まれていることが確認できます。 - Ddostfの機能
DDoSの開始、DDoSの停止、追加ペイロードのダウンロードと実行、システム状態情報の送信開始、システム状態情報の送信終了、といった機能が実装されています。
いつの間にか知らないサービスが設置されていて動作している、ゾッとします。
安全なパスワードの利用、適切な脆弱性対策の運用、必要最小限のネットワークアクセスの解放、そういったことを徹底していきたいものです。
参考記事(外部リンク):MySQL サーバーを攻撃している Ddostf DDoS Bot マルウェア
asec.ahnlab.com/jp/58900/
| この記事をシェア |
|
|---|
