Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Новый Linux-зловред проникает на серверы Confluence с помощью эксплойта и ищет C&C, подавая DNS-запросы по HTTPS.
Новый Linux-зловред проникает на серверы Confluence с помощью эксплойта, открывает бэкдор и ждет команд на проведение DDoS-атаки. Отличительная черта Godlua, как его называют в Qihoo 360, — использование протокола DoH (DNS поверх HTTPS) для получения URL центра управления из текстовой записи DNS.
Случаи поиска C&C-адреса вредоносным ПО через обращение к таким записям встречались и ранее, однако с запросами DoH вместо классических DNS аналитики столкнулись впервые.
Протокол DoH (RFC 8484) пока имеет статус предлагаемого стандарта; как следует из названия, он предполагает передачу DNS-запросов по защищенным HTTPS-каналам, то есть с использованием шифрования. Поддержка DoH уже введена в браузерах Firefox and Chrome, а CDN-провайдер Cloudfare в прошлом году запустил пробный DoH-сервис.
С точки зрения злоумышленника подобный протокол хорош тем, что позволяет прятать DNS-запросы в общем HTTPS-трафике и препятствует просмотру их содержимого. Защитные решения, полагающиеся на пассивный мониторинг DNS-трафика, в этом случае окажутся бесполезными, так как не смогут блокировать обращения к доменам, внесенным в черные списки.
Анализ Godlua показал, что DoH-запросы — не единственный способ связи этого зловреда с командным сервером. Он также может использовать вшитое в код доменное имя или свои страницы на Pastebin и GitHub с готовыми ссылками.
Новый бот написан на Lua и распространяется посредством эксплуатации RCE-уязвимости CVE-2019-3396 в вики-системе Confluence. Патч для нее вышел 20 марта, и через три недели последовали первые атаки — сразу после публикации PoC-кода. На тот момент злоумышленники пытались с помощью нового эксплойта раздавать шифровальщик GandCrab 5.2, а в конце апреля стало известно, что CVE-2019-3396 также взяли на вооружение операторы DDoS-ботнета AESDDoS.
Godlua тоже способен проводить DDoS-атаки; исследователи даже зафиксировали несколько инцидентов с его участием. По их словам, новый Linux-бот пока владеет единственной техникой — HTTP Flood.
На настоящий момент выявлены две схожие модификации Godlua. Одна из них ориентирована на процессоры с микроархитектурой х86 и х86-64, другая вдобавок поддерживает ARM и MIPSel. К тому же, в отличие от первой версии, вторая активно обновляется.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |