Обнаружено первое в мире вредоносное ПО, использующее DOH-запросы
6 июля 2019
Рубрика: Новости.
Автор: .

Вредоносное ПО Godlua заражает устаревшие Linux-серверы через уязвимость в Atlassian Confluence Server.

Исследователи подразделения Netlab китайской ИБ-компании Qihoo 360 обнаружили первый в мире образец вредоносного ПО, использующий протокол DNS поверх HTTPS (DoH).

Вредоносное ПО Godlua написано на языке Lua и на зараженной системе играет роль бэкдора. Злоумышленники используют его для заражения устаревших Linux-серверов через уязвимость в Atlassian Confluence Server (CVE-2019-3396).

Загруженные на VirusTotal ранние версии вредоноса были ошибочно классифицированы как майнеры криптовалют, но на самом деле Godlua является DDoS-ботом, уже используемым в реальных атаках. На данный момент исследователи выявили только два образца вредоноса с похожей архитектурой. Обе версии используют DoH-запросы на текстовые записи DNS, содержащие URL-адрес C&C-сервера, к которому Godlua подключается для получения инструкций.

Сама по себе техника получения URL-адреса C&C-сервера из текстовой записи DNS далеко не нова. Новое здесь – использование DoH-запросов вместо стандартных DNS-запросов. Как следует из названия протокола, DNS поверх HTTPS отправляет DNS-запросы по HTTPS. DoH-запросы являются зашифрованными и невидимыми для сторонних наблюдателей, в том числе для решений безопасности, использующих пассивный мониторинг DNS для блокировки запросов к известным вредоносным доменам.

Эксперты обеспокоены тем, что вскоре операторы других вредоносов возьмут на вооружение данную технику, сделав огромное число ИБ-решений бесполезными.

Подробнее: https://www.securitylab.ru/news/499799.php

Источник

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте