Zuhause > Cyber ​​Aktuelles > Godlua Backdoor verwendet CVE-2019-3396, um Linux-Benutzer anzusprechen
CYBER NEWS

Godlua Backdoor Verwendet CVE-2019-3396 Linux-Benutzer auf Ziel

Es gibt ein neues Stück von fortgeschrittenem Backdoor Malware, die sowohl Linux als auch Windows-Systeme in einem sicheren Ziel können, bisher unbekannte Kommunikations. Die Backdoor wurde genannt Godlua, wie es ist Lua-basierte und „die Lua-Byte-Code-Datei von dieser Probe geladen hat eine magische Zahl von „Gott“. Der primäre Zweck der Backdoor erscheint DDoS zu sein.




Godlua Backdoor: Einzelheiten

Nach Qihoo 360 Forscher, gibt es zwei Versionen von Godlua:

Version 201811051556 wird durch das Durchlaufen Godlua Download-Servern erhalten und es hat es kein Update gewesen. Version 20190415103713 ~ 2019062117473 ist aktiv und aktiv wird aktualisiert. Sie sind alle in C geschrieben, aber die aktive unterstützt mehr Computer-Plattformen und mehr Funktionen.

Die Malware wurde am April entdeckt 24 dieses Jahr, wenn das Gefahrenerfassungssystem Forscher entdeckt eine verdächtige ELF-Datei, die von anderen Security-Anbietern als Bergbau Trojan markiert wurde. Die Mining-Funktionalität derzeit nicht im Gegensatz zu den DDoS bestätigt werden, die bereits im Einsatz ist.

Die interessanteste Tatsache über die Godlua Hintertür ist, dass er einen redundanten Kommunikationsmechanismus für den Befehl und die Steuerung verwendet wird, hat (c2) Verbindung. Es ist eine Kombination von fest codierten DNS-Namen, Pastebin.com, GitHub.com und ein DNS-TXT, die verwendet werden, um die c2-Adresse zu speichern. Dieses Verhalten wird selten in jeder Malware gesehen. Weiter, die Backdoor nutzt HTTPS herunterladen Lua Bytecode-Dateien, und verwendet DNS über HTTPS den C2-Namen zu erhalten sichere Kommunikation zwischen den Bots, um sicherzustellen,, der Web-Server und die C2, berichteten die Forscher.

Wie bereits erwähnt, Der primäre Zweck der Godlua scheint DDoS-Attacken bezogen werden. Es wurde bereits in aktiven Kampagnen in einem HTTP-Flood-Angriff gegen die liuxiaobei erkannt wurde[.]com-Domain.

verbunden: [wplinkpreview url =”https://sensorstechforum.com/yowai-botnet-mirai-thinkphp-vulnerability/”] Yowai Botnet, Variante Mirai, Exploits bekannt ThinkPHP Vulnerability

Die Forscher brauchen mehr von Godlua sehen zu können, die Art und Weise bestimmen, die Backdoor seine Ziele infiziert. Bisher ist die einzige Sache, die bekannt ist, dass die Malware nutzt die sogenannte Confluence ausnutzen (CVE-2019-3396) Linux-Nutzer zum Ziel.

CVE-2019-3396 ist eine Schwachstelle, die vor der Version in dem Widget-Connector Makro in Atlassian Confluence-Server befindet 6.6.12 (die feste Version für 6.6.x), ab Version 6.7.0 Vor 6.12.3 (die feste Version für 6.12.x), ab Version 6.13.0 Vor 6.13.3 (die feste Version für 6.13.x), und ab Version 6.14.0 Vor 6.14.2 (die feste Version für 6.14.x).

Die Sicherheitslücke ermöglicht es einem Angreifer Path Traversal und Remotecodeausführung auf einem Confluence Server oder Data Center Instanz über serverseitige Vorlage Injektion zu erreichen, als in den offiziellen Beratungs erklärt.

Die Forscher Vorschlag ist, zumindest „überwachen und blockieren die entsprechende IP, URL und Domain-Namen Godlua Backdoor in Ihrem Netzwerk". Vollständige technische Offenbarung von Godlua Backdoor ist verfügbar.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau