Il y a un nouveau code malveillant porte dérobée de pointe qui peuvent cibler à la fois les systèmes Linux et Windows dans un environnement sécurisé, communication inédite. La porte dérobée a été surnommé Godlua, car il est basé sur Lua et «le fichier byte-code Lua chargé par cet échantillon a un nombre magique de « Dieu ». L'objectif principal de la porte dérobée semble être DDoS.
Godlua Backdoor: Détails
Selon Qihoo 360 des chercheurs, il existe deux versions de Godlua:
Version 201811051556 est obtenu en traversant des serveurs de téléchargement Godlua et il n'y a pas eu de mise à jour à ce sujet. Version 20190415103713 ~ 2019062117473 est actif et est activement mis à jour. Ils sont tous écrits en C, mais celui qui est actif prend en charge plus de plates-formes informatiques et plus de fonctionnalités.
Le logiciel malveillant a été découvert en Avril 24 cette année, lorsque le système de détection des menaces des chercheurs ont détecté un fichier ELF suspect, qui a été marquée par d'autres fournisseurs de sécurité comme un cheval de Troie minière. La fonctionnalité minière actuellement ne peut être confirmée à la différence des DDoS qui est déjà utilisé.
Le fait le plus intéressant au sujet de la porte dérobée Godlua est qu'il dispose d'un mécanisme de communication redondant utilisé pour la commande et de contrôle (c2) connexion. Il est une combinaison de hardcoded nom DNS, Pastebin.com, GitHub.com et TXT DNS qui sont utilisés pour stocker l'adresse c2. Ce comportement est rarement vu dans tous les logiciels malveillants. En outre, la porte dérobée utilise télécharger HTTPS Lua fichiers de code octet, et utilise le DNS via HTTPS pour obtenir le nom de C2 pour assurer une communication sécurisée entre les robots collecteurs, le serveur Web et le C2, les chercheurs ont rapporté.
Comme déjà mentionné, le but principal de Godlua semble être lié aux attaques DDoS. Il a déjà été détecté dans des campagnes actives dans une inondation HTTP attaque contre la liuxiaobei[.]domaine com.
Les chercheurs ont besoin de voir plus de Godlua pour être en mesure de déterminer la façon dont la porte dérobée contamine ses cibles. Jusqu'à présent, la seule chose qui est connu est que le malware utilise la Confluence soi-disant exploit (CVE-2019-3396) pour cibler les utilisateurs de Linux.
CVE-2019-3396 est une vulnérabilité qui réside dans la macro Widget Connector Atlassian Confluence Server avant la version 6.6.12 (la version fixe pour 6.6.x), de la version 6.7.0 avant 6.12.3 (la version fixe pour 6.12.x), de la version 6.13.0 avant 6.13.3 (la version fixe pour 6.13.x), et de la version 6.14.0 avant 6.14.2 (la version fixe pour 6.14.x).
La vulnérabilité permet à des attaquants distants d'atteindre chemin et traversal l'exécution de code à distance sur une instance de serveur Confluence ou Data Center par injection de modèle côté serveur, comme a expliqué dans l'avis officiel.
La suggestion des chercheurs est d'au moins «surveiller et bloquer l'IP concerné, URL et nom de domaine de Godlua Backdoor sur votre réseau". divulgation technique complète de porte dérobée Godlua est disponible.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: