안랩 보안응급대응센터(ASEC)의 연구원들이 데이터베이스 서버를 대상으로 하는 위협을 정기적으로 모니터링하는 과정에서, MySQL 서버가 'Ddostf' 악성 봇넷의 공격 대상이 되고 있다는 사실을 발견했습니다. Ddostf의 운영자들은 패치되지 않은 MySQL 환경의 취약점을 이용하거나, 약한 관리자 계정 자격 증명을 무차별 대입 공격으로 침해하여 서버를 공격합니다. 공격자들은 인터넷을 스캔하여 노출된 MySQL 서버를 찾고, 관리자 자격 증명을 무차별 대입 공격으로 침해하려 시도합니다.

Windows MySQL 서버의 경우, 공격자들은 사용자 정의 함수(UDFs)라는 기능을 이용하여 침해된 시스템에서 명령을 실행합니다. UDF는 사용자가 C 또는 C++로 함수를 정의하고, 데이터베이스 서버의 기능을 확장하는 DLL(dynamic link library) 파일로 컴파일할 수 있게 해주는 MySQL의 기능입니다. 이 경우 공격자들은 자신들만의 UDF를 만들어 데이터베이스 서버에 DLL 파일(amd.dll)로 등록하고, 다음과 같은 악성 기능을 수행합니다: 원격 서버에서 Ddostf DDoS 봇과 같은 페이로드를 다운로드하고, 공격자가 보낸 임의의 시스템 수준 명령을 실행합니다.

요약

- 안랩 보안응급대응센터(ASEC)의 연구원들이 MySQL 서버가 'Ddostf' 악성 봇넷의 공격 대상이 되고 있음을 발견
- Ddostf의 운영자들은 패치되지 않은 MySQL 환경의 취약점을 이용하거나, 약한 관리자 계정 자격 증명을 무차별 대입 공격으로 침해
- 공격자들은 사용자 정의 함수(UDFs)를 이용하여 침해된 시스템에서 명령을 실행하고, 원격 서버에서 Ddostf DDoS 봇과 같은 페이로드를 다운로드하고, 공격자가 보낸 임의의 시스템 수준 명령을 실행

Reference

https://www.bleepingcomputer.com/news/security/mysql-servers-targeted-by-ddostf-ddos-as-a-service-botnet/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*