Ddostf

DdostfはDDoSを行うことのできるマルウェアです。
感染が広がっていることが確認されています。

• ターゲットはMySQL
  MySQLはオープンソースのリレーショナルデータベース管理システムソフトウェアです。
  多くのOS環境で利用することができます。

   

• 想定OSはLinuxとWindows
  DdostfはLinuxとWindowsで動作します。
  Linux用にELFバイナリがあり、Windows用にはPEバイナリがあります。

   

• 始まり方
  まずはネットワーク的に到達可能なMySQLを列挙します。
  通常MySQLは3306/TCPを使用します。
  そして、ブルートフォース攻撃をしかけたり、脆弱性をつくことを通じて、アクセスを獲得します。

   

• UDF機能の設置
  Ddostfの設置に先立ち、UDF機能を持つファイルが設置されます。
  UDFはUser Defined Functionです。
  UDFはMySQLを拡張するための仕組みで、ユーザは自由にMySQLに関数を追加することができます。
  MySQLのソースコードにUDFのサンプルが含まれていますので、だれでも自分で作ることができます。
  UDFはこのDdostf以前からいろいろな攻撃で利用されてきているものですが、Ddostfでも使用されます。
  このUDFはC2の指令でコマンドを実行する機能と、ファイルをダウンロードする機能が実装されています。

   

• Ddostfの設置
  攻撃者はUDFのdownloader()関数を使います。
  外部からDdostfのファイルを侵害先に転送し、サービスとして設置されます。
  Ddostfのファイルはランダムなファイル名として置かれ、サービス名もランダム名前で登録されます。
  ファイルとしては名前がランダムなのですが、バイナリで内容を確認すると「ddos.tf」という文字列が含まれていることが確認できます。

   

• Ddostfの機能
  DDoSの開始、DDoSの停止、追加ペイロードのダウンロードと実行、システム状態情報の送信開始、システム状態情報の送信終了、といった機能が実装されています。

いつの間にか知らないサービスが設置されていて動作している、ゾッとします。
安全なパスワードの利用、適切な脆弱性対策の運用、必要最小限のネットワークアクセスの解放、そういったことを徹底していきたいものです。

参考記事（外部リンク）：MySQL サーバーを攻撃している Ddostf DDoS Bot マルウェア
asec.ahnlab.com/jp/58900/