Аналитики китайской компании Qihoo 360 обнаружили написанного на Lua вредоноса Godlua. Это первая известная специалистам угроза, которая злоупотребляет функциональностью протокола DNS over HTTPS (DoH).

Эксперты рассказывают, что в зараженных системах Godlua ведет себя как бэкдор. При этом исследователи отмечают, что раннее загруженные на VirusTotal образцы были классифицированы как майнеры, хотя в настоящее время вредонос используется в основном для DDoS-атак. К примеру, эксперты зафиксировали такую атаку на ресурс liuxiaobei[.]com.

Пока исследователи обнаружили две версии Godlua, инфраструктура которых оказалась весьма схожа. Обе вариации используют запросы DNS over HTTPS для маскировки связи между управляющими серверами, зараженными машинами и подконтрольными злоумышленникам серверами. Все это затрудняет анализ трафика вредоноса. Первая вариация предназначена для Linux (версия 201811051556), тогда как вторая версия также способна атаковать Windows-машины, имеет больше встроенных команд и поддерживает больше архитектур (версия 20190415103713 ~ 2019062117473).

По данным исследователей, версия 201811051556 более не обновляется, тогда как хакеры активно развивают вторую версию вредоноса, чем и обусловлено появление дополнительных функций и кроссплатформенность.

Сообщается, что злоумышленники компрометируют Linux-серверы, используя для этого эксплоит для бага в Atlassian Confluence Server (CVE-2019-3396), но исследователи уверены, что есть и другие векторы заражения.

Обе известные специалистам версии Godlua используют DoH для получения текстовых записей DNS, где хранятся URL-адреса C&C серверов злоумышленников. В целом извлечение URL-адресов управляющих серверов из DNS — это не ново. Новшеством в данном случае является именно использование DoH-запроса вместо классического DNS-запроса.

Как нетрудно понять из названия, DNS over HTTPS работает, отправляя запросы DNS через защищенное соединение HTTPS, вместо классического UDP-запроса. То есть, запрос DoH  зашифрован и невидим для сторонних наблюдателей, включая защитное по, применяющее пассивный мониторинг DNS для блокировки запросов к известным вредоносным доменам.

Теперь ИБ-эксперты всерьез опасаются, что Godlua может стать лишь «первой ласточкой», и вскоре преимущества DoH оценят и другие разработчики малвари, сделав пассивный мониторинг DNS практически бесполезным.

 

Оставить мнение