Ddostf: Una nueva botnet que utiliza MySQL para lanzar ataques DDoS

En los últimos años, los ataques DDoS se han convertido en una amenaza cada vez más grave para las organizaciones de todo el mundo. Estos ataques consisten en enviar un gran volumen de tráfico a un servidor o red con el objetivo de sobrecargarlos y hacerlos inaccesibles.

Una nueva botnet llamada Ddostf está utilizando MySQL para lanzar ataques DDoS. Esta botnet está infectando servidores MySQL expuestos en Internet y utilizándolos para lanzar ataques contra objetivos seleccionados.

¿Qué es MySQL y por qué es un blanco para ataques?

MySQL es un sistema de gestión de bases de datos relacional, ampliamente utilizado para almacenar y gestionar datos en aplicaciones web. Su popularidad y accesibilidad lo convierten en un objetivo atractivo para los ciberdelincuentes.

Te podrá interesar leer:  Azure Database para MySQL: Base de Datos Escalable

¿Qué es Ddostf?

Ddostf, una botnet de malware con origen en China detectada por primera vez hace cerca de siete años, tiene la capacidad de atacar sistemas tanto Linux como Windows. En el caso de Windows, el malware logra persistencia al registrarse como un servicio del sistema en su primera ejecución y, a continuación, descifra su configuración de comando y control (C2) para establecer una conexión.

Este malware realiza un perfilado detallado del sistema anfitrión, enviando información como la frecuencia de la CPU, el número de núcleos, detalles del idioma, la versión de Windows, la velocidad de la red, entre otros, a su servidor C2. Desde este servidor, se pueden enviar instrucciones para ejecutar ataques DDoS, como SYN Flood, UDP Flood y HTTP GET/POST Flood. Además, permite detener la transmisión de información del estado del sistema, cambiar a una nueva dirección C2 o descargar y ejecutar nuevas cargas útiles.

Un aspecto distintivo de Ddostf es su habilidad para conectarse a nuevas direcciones C2, una característica que lo diferencia de la mayoría del malware de botnet DDoS y le proporciona una mayor resistencia frente a intentos de neutralización. 

Te podrá interesar leer:  Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad

Explotación de Funciones Definidas por el Usuario en MySQL

Los ciberatacantes están intensificando sus esfuerzos, buscando activamente servidores MySQL expuestos en Internet. Al encontrarlos, intentan acceder a ellos mediante ataques de fuerza bruta a las credenciales de administrador.

En el caso de los servidores MySQL en entornos Windows, los actores de amenazas aprovechan una funcionalidad conocida como Funciones Definidas por el Usuario (UDF, por sus siglas en inglés). Esta característica permite ejecutar comandos dentro del sistema comprometido.

Las UDF son una característica integrada en MySQL que posibilita a los usuarios crear funciones personalizadas en C o C++, las cuales se compilan en archivos de Biblioteca de Vínculos Dinámicos (DLL). Estas funciones pueden expandir las capacidades del servidor de base de datos.

Los atacantes explotan esta funcionalidad al crear UDF maliciosas y registrarlas en el servidor de bases de datos como un archivo DLL (nombrado amd.dll, por ejemplo) que contiene funciones dañinas:

• Descargar cargas útiles maliciosas, como el bot de DDoS Ddostf, desde un servidor remoto.
• Ejecutar comandos del sistema arbitrarios, los cuales son proporcionados por los atacantes.
• Recolectar y enviar los resultados de estos comandos a un archivo temporal, que luego es transmitido a los atacantes.

El mal uso de las UDF no solo facilita la implementación de la carga útil principal, como el bot Ddostf, sino que también puede abrir la puerta a una variedad de amenazas adicionales. Esto incluye la instalación de otro tipo de malware, la exfiltración de datos sensibles, la creación de backdoors para acceso persistente y otras actividades maliciosas.

Módulo Metasploit para abusar de UDF

¿Cómo proteger tus servidores MySQL de los ataques DDoS?

Los ataques DDoS son difíciles de prevenir y de mitigar, ya que se aprovechan de la naturaleza abierta y distribuida de Internet. Sin embargo, existen algunas medidas y buenas prácticas que pueden ayudar a reducir el impacto y el riesgo de estos ataques, como:

1. Monitorizar el tráfico y el rendimiento de los servidores MySQL: Es importante tener un control y una visibilidad constantes del estado y la actividad de los servidores MySQL, para poder detectar y responder a posibles anomalías o amenazas. Para ello, se pueden utilizar herramientas de monitorización, de análisis o de alerta, que permitan identificar los patrones, los orígenes y los objetivos de los ataques DDoS, así como los recursos afectados y los indicadores de compromiso.
   
   
2. Configurar y optimizar los servidores MySQL: Es importante tener una configuración adecuada y actualizada de los servidores MySQL, para poder aprovechar al máximo sus capacidades y sus funcionalidades. Para ello, se pueden ajustar los parámetros de los servidores, como el límite de conexiones, el tamaño de los buffers, el tiempo de espera o el nivel de registro, para mejorar su rendimiento y su seguridad. También se pueden aplicar las actualizaciones y los parches disponibles, para corregir las vulnerabilidades y los errores que puedan ser explotados por los atacantes.
   
   
3. Implementar medidas de seguridad en los servidores MySQL: Es importante tener una política de seguridad robusta y coherente en los servidores MySQL, para poder proteger los datos y los servicios que ofrecen. Para ello, se pueden implementar medidas de seguridad, como el cifrado, la autenticación, la autorización o el filtrado, para evitar el acceso no autorizado o el abuso de los servidores. También se pueden utilizar herramientas de seguridad, como los cortafuegos, los antivirus o los sistemas de detección y prevención de intrusiones, para bloquear o rechazar el tráfico malicioso o sospechoso.
   
   
4. Utilizar servicios de protección y mitigación de DDoS: Es importante contar con el apoyo y la colaboración de proveedores de servicios de Internet, de alojamiento o de seguridad, que puedan ofrecer soluciones de protección y mitigación de DDoS. Estas soluciones pueden consistir en servicios de balanceo de carga, de redirección de tráfico, de limpieza de tráfico o de absorción de tráfico, que permitan distribuir, desviar, filtrar o asumir el tráfico de los ataques DDoS, aliviando la carga de los servidores MySQL. Estas soluciones pueden ser de tipo local, en la nube o híbrido, según las necesidades y los recursos de cada caso.

Te podrá interesar leer:  Defensa contra DDoS con Wazuh: Mitigación de Ataques

Los ataques DDoS son una de las amenazas más frecuentes y peligrosas para los servidores MySQL, que pueden causar graves daños y perjuicios a sus propietarios y usuarios. Por ello, es necesario estar preparado y tomar medidas para proteger y defender los servidores MySQL de estos ataques, así como para recuperarse y aprender de ellos. De esta forma, se podrá garantizar la disponibilidad, la integridad y la confidencialidad de los datos y los servicios que ofrecen los servidores MySQL, y se podrá mejorar la seguridad y la confianza de los usuarios.