SOS :: Security Operation Space
22 августа, четверг, 00:00
|
Hot News:

DDoS-бот Godlua использует DoH для сокрытия трафика

05 июля 2019 г., пятница, 05:50

Новый Linux-зловред проникает на серверы Confluence с помощью эксплойта и ищет C&C, подавая DNS-запросы по HTTPS.

Новый Linux-зловред проникает на серверы Confluence с помощью эксплойта, открывает бэкдор и ждет команд на проведение DDoS-атаки. Отличительная черта Godlua, как его называют в Qihoo 360, — использование протокола DoH (DNS поверх HTTPS) для получения URL центра управления из текстовой записи DNS.

Случаи поиска C&C-адреса вредоносным ПО через обращение к таким записям встречались и ранее, однако с запросами DoH вместо классических DNS аналитики столкнулись впервые.

Протокол DoH (RFC 8484) пока имеет статус предлагаемого стандарта; как следует из названия, он предполагает передачу DNS-запросов по защищенным HTTPS-каналам, то есть с использованием шифрования. Поддержка DoH уже введена в браузерах Firefox and Chrome, а CDN-провайдер Cloudfare в прошлом году запустил пробный DoH-сервис.

С точки зрения злоумышленника подобный протокол хорош тем, что позволяет прятать DNS-запросы в общем HTTPS-трафике и препятствует просмотру их содержимого. Защитные решения, полагающиеся на пассивный мониторинг DNS-трафика, в этом случае окажутся бесполезными, так как не смогут блокировать обращения к доменам, внесенным в черные списки.

Анализ Godlua показал, что DoH-запросы — не единственный способ связи этого зловреда с командным сервером. Он также может использовать вшитое в код доменное имя или свои страницы на Pastebin и GitHub с готовыми ссылками.

Новый бот написан на Lua и распространяется посредством эксплуатации RCE-уязвимости CVE-2019-3396 в вики-системе Confluence. Патч для нее вышел 20 марта, и через три недели последовали первые атаки — сразу после публикации PoC-кода. На тот момент злоумышленники пытались с помощью нового эксплойта раздавать шифровальщик GandCrab 5.2, а в конце апреля стало известно, что CVE-2019-3396 также взяли на вооружение операторы DDoS-ботнета AESDDoS.

Godlua тоже способен проводить DDoS-атаки; исследователи даже зафиксировали несколько инцидентов с его участием. По их словам, новый Linux-бот пока владеет единственной техникой — HTTP Flood.

На настоящий момент выявлены две схожие модификации Godlua. Одна из них ориентирована на процессоры с микроархитектурой  х86 и х86-64, другая вдобавок поддерживает ARM и MIPSel. К тому же, в отличие от первой версии, вторая активно обновляется.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:32
16:15
15:15
14:15
13:30
13:15
12:15
10:15
08:15
07:15
06:15
06:15
15:15
14:15
13:10
12:40
12:15
12:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.350
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.