Вредоносное ПО Godlua заражает устаревшие Linux-серверы через уязвимость в Atlassian Confluence Server.

Исследователи подразделения Netlab китайской Qihoo 360 выявили первый в мире образец зловреда, использующий протокол DNS поверх HTTPS (DoH).

Вредоносное ПО Godlua написано на языке Lua и на заражённой системе играет роль бэкдора. Хакеры используют его для заражения устаревших Linux-серверов через уязвимость в Atlassian Confluence Server (CVE-2019-3396).

Загруженные на VirusTotal ранние версии вредоноса были ошибочно классифицированы как майнеры криптовалют, но на самом деле Godlua является DDoS-ботом, уже используемым в реальных атаках. На данный момент исследователи выявили только два образца вредоноса с похожей архитектурой. Обе версии используют DoH-запросы на текстовые записи DNS, содержащие URL-адрес C&C-сервера, к которому Godlua подключается для получения инструкций.

Сама по себе техника получения URL-адреса C&C-сервера из текстовой записи DNS не нова. Новое здесь – использование DoH-запросов вместо стандартных DNS-запросов. Как следует из названия протокола, DNS поверх HTTPS отправляет DNS-запросы по HTTPS. DoH-запросы являются зашифрованными и невидимыми для сторонних наблюдателей, в том числе для решений безопасности, использующих пассивный мониторинг DNS для блокировки запросов к известным вредоносным доменам.

Эксперты обеспокоены тем, что вскоре операторы других зловредов возьмут на вооружение данную технику, сделав огромное число ИБ-решений бесполезными.

4 июля, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.07.2025
«Национальный мессенджер» закрыл первый миллион
01.07.2025
МТС приготовила всем по маленькому «большому брату»
01.07.2025
NCSC заманивает компании к участию в программе, страдающей из-за недостатка интереса
01.07.2025
ruID как пред-«Госуслуги». Новый сервис для приезжающих в Россию
01.07.2025
«Лидеры рынка уже не ограничиваются точечными инструментами»
01.07.2025
К давлению на Apple подключилась даже нейтральная Швейцария
01.07.2025
АНБ и CISA хотят снизить уязвимость ПО с помощью TRACTORа
30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных