LinuxとWindowsの両方のシステムを安全に標的にできる高度なバックドアマルウェアの新しい部分があります, これまでに見られなかったコミュニケーション. バックドアはゴドルアと呼ばれています, Luaベースで「このサンプルによってロードされたLuaバイトコードファイルには、「神」のマジックナンバーがあります. バックドアの主な目的はDDoSのようです.
ゴドルアバックドア: 詳細
Qihooによると 360 研究者, Godluaには2つのバージョンがあります:
バージョン 201811051556 Godluaダウンロードサーバーをトラバースすることで取得され、更新はありません. バージョン 20190415103713 〜 2019062117473 アクティブであり、アクティブに更新されています. それらはすべてCで書かれています, しかし、アクティブなものは、より多くのコンピュータプラットフォームとより多くの機能をサポートします.
マルウェアは4月に発見されました 24 ことし, 研究者の脅威検出システムが疑わしいELFファイルを検出したとき, 他のセキュリティベンダーによってマイニングトロイの木馬としてマークされました. すでに使用されているDDoSとは異なり、マイニング機能は現在確認できません。.
Godluaバックドアの最も興味深い事実は、コマンドアンドコントロールに使用される冗長な通信メカニズムを備えていることです。 (c2) 繋がり. ハードコードされたDNS名の組み合わせです, Pastebin.com, C2アドレスを保存するために使用されるGitHub.comとDNSTXT. この動作は、マルウェアではめったに見られません. さらに, バックドアはHTTPSダウンロードLuaバイトコードファイルを利用します, DNS over HTTPSを使用してC2名を取得し、ボット間の安全な通信を確保します, WebサーバーとC2, 研究者は報告した.
すでに述べたように, Godluaの主な目的は、DDoS攻撃に関連しているようです. liuxiaobeiに対するHTTPフラッド攻撃のアクティブなキャンペーンですでに検出されています[.]comドメイン.
研究者は、バックドアがそのターゲットに感染する方法を決定できるようにするために、ゴドルアをもっと見る必要があります. これまでに知られている唯一のことは、マルウェアがいわゆるConfluenceエクスプロイトを使用していることです (CVE-2019-3396) Linuxユーザーをターゲットにする.
CVE-2019-3396は、バージョン以前のAtlassianConfluenceServerのウィジェットコネクタマクロに存在する脆弱性です。 6.6.12 (6.6.xの修正バージョン), バージョンから 6.7.0 前 6.12.3 (6.12.xの修正バージョン), バージョンから 6.13.0 前 6.13.3 (6.13.xの修正バージョン), およびバージョンから 6.14.0 前 6.14.2 (6.14.xの修正バージョン).
この脆弱性により、リモートの攻撃者は、サーバー側のテンプレートインジェクションを介して、Confluenceサーバーまたはデータセンターインスタンスでパストラバーサルとリモートコード実行を実行できます。, なので 公式アドバイザリーで説明.
研究者の提案は、少なくとも「関連するIPを監視およびブロックする, ネットワーク上のGodluaバックドアのURLとドメイン名」. 完全な技術的開示 ゴドルアのバックドアが利用可能です.