Der er et nyt stykke avanceret bagdør malware, der kan målrette både Linux og Windows-systemer i et sikkert, tidligere uset kommunikation. Den bagdør er blevet døbt Godlua, som det er Lua-baserede og ”Lua byte-kode-fil indlæst af denne prøve har en magisk antal ”Gud”. Det primære formål med bagdøren synes at være DDoS.
Godlua Backdoor: Detaljer
Ifølge Qihoo 360 forskere, der er to versioner af Godlua:
Version 201811051556 opnås ved kørsel Godlua downloadsserverne og der har ikke været nogen opdatering på det. Version 20190415103713 ~ 2019062117473 er aktiv og er aktivt at blive opdateret. De er alle skrevet i C, men den aktive understøtter flere edb-platforme og flere funktioner.
Den malware blev opdaget på April 24 år, når forskernes trusselsregistrering systemet opdaget en mistænkelig ELF fil, der var præget af andre sikkerhed leverandører som en minedrift Trojan. Den minedrift funktionalitet i øjeblikket ikke kan bekræftes i modsætning til DDoS som allerede er i brug.
Det mest interessante faktum om Godlua bagdør er, at det har en redundant kommunikation mekanisme, der anvendes til styring og kontrol (c2) forbindelse. Det er en kombination af hardcodede DNS-navn, Pastebin.com, GitHub.com og en DNS TXT, som bruges til at lagre c2 adresse. Denne adfærd er sjældent set i nogen malware. Endvidere, bagdøren udnytter HTTPS hente Lua byte-kodefiler, og bruger DNS over HTTPS at få C2 navn for at sikre sikker kommunikation mellem de bots, Web Server og C2, forskerne rapporteret.
Som allerede nævnt, det primære formål med Godlua synes at være relateret til DDoS-angreb. Det er allerede blevet påvist i aktive kampagner i en HTTP oversvømmelse angreb mod liuxiaobei[.]com domæne.
Forskerne har brug for at se mere af Godlua at kunne bestemme, hvordan bagdøren inficerer sine mål. Indtil videre er det eneste, der er kendt, er, at malware bruger den såkaldte Confluence udnytte (CVE-2019-3396) at målrette Linux-brugere.
CVE-2019-3396 er en sårbarhed, der bor i Widget Connector makro i Atlassian Confluence Server før versionen 6.6.12 (den faste version til 6.6.x), fra version 6.7.0 Før 6.12.3 (den faste version til 6.12.x), fra version 6.13.0 Før 6.13.3 (den faste version til 6.13.x), og fra version 6.14.0 Før 6.14.2 (den faste version til 6.14.x).
Sårbarheden muligt for fjernangribere at opnå mappegennemløb og fjernkørsel af programkode på en Confluence Server eller datacenter fx via server-side skabelon injektion, som forklaret i den officielle rådgivende.
Forskernes forslag er at i det mindste ”overvåge og blokere den relevante IP, URL og domænenavn Godlua Backdoor på dit netværk". Fuld teknisk afsløring af Godlua bagdør er tilgængelig.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: