Ddostf

ほぼこもセキュリティニュース By Terilogy Worx

DdostfはDDoSを行うことのできるマルウェアです。
感染が広がっていることが確認されています。

  • ターゲットはMySQL
    MySQLはオープンソースのリレーショナルデータベース管理システムソフトウェアです。
    多くのOS環境で利用することができます。

     

  • 想定OSはLinuxとWindows
    DdostfはLinuxとWindowsで動作します。
    Linux用にELFバイナリがあり、Windows用にはPEバイナリがあります。

     

  • 始まり方
    まずはネットワーク的に到達可能なMySQLを列挙します。
    通常MySQLは3306/TCPを使用します。
    そして、ブルートフォース攻撃をしかけたり、脆弱性をつくことを通じて、アクセスを獲得します。

     

  • UDF機能の設置
    Ddostfの設置に先立ち、UDF機能を持つファイルが設置されます。
    UDFはUser Defined Functionです。
    UDFはMySQLを拡張するための仕組みで、ユーザは自由にMySQLに関数を追加することができます。
    MySQLのソースコードにUDFのサンプルが含まれていますので、だれでも自分で作ることができます。
    UDFはこのDdostf以前からいろいろな攻撃で利用されてきているものですが、Ddostfでも使用されます。
    このUDFはC2の指令でコマンドを実行する機能と、ファイルをダウンロードする機能が実装されています。

     

  • Ddostfの設置
    攻撃者はUDFのdownloader()関数を使います。
    外部からDdostfのファイルを侵害先に転送し、サービスとして設置されます。
    Ddostfのファイルはランダムなファイル名として置かれ、サービス名もランダム名前で登録されます。
    ファイルとしては名前がランダムなのですが、バイナリで内容を確認すると「ddos.tf」という文字列が含まれていることが確認できます。

     

  • Ddostfの機能
    DDoSの開始、DDoSの停止、追加ペイロードのダウンロードと実行、システム状態情報の送信開始、システム状態情報の送信終了、といった機能が実装されています。

いつの間にか知らないサービスが設置されていて動作している、ゾッとします。
安全なパスワードの利用、適切な脆弱性対策の運用、必要最小限のネットワークアクセスの解放、そういったことを徹底していきたいものです。

参考記事(外部リンク):MySQL サーバーを攻撃している Ddostf DDoS Bot マルウェア
asec.ahnlab.com/jp/58900/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。