Er is een nieuw stuk van geavanceerde backdoor malware die zowel Linux als Windows-systemen kunnen richten op een veilige, ongeziene communicatie. De achterdeur is wel Godlua, want het is Lua-based en “de Lua byte-code file geladen door dit monster heeft een magische aantal van “God”. Het primaire doel van de achterdeur lijkt te zijn DDoS.
Godlua Backdoor: Details
Volgens Qihoo 360 onderzoekers, Er zijn twee versies van Godlua:
Versie 201811051556 wordt verkregen door het doorkruisen van Godlua downloaden servers en er is geen update geweest op. Versie 20190415103713 ~ 2019062117473 is actief en is actief wordt bijgewerkt. Ze zijn allemaal geschreven in C, maar het actieve ondersteunt meer computerplatforms en meer functies.
De malware werd ontdekt in april 24 dit jaar, wanneer de onderzoekers detectie van bedreigingen systeem heeft ontdekt een verdacht ELF file, die werd gekenmerkt door andere beveiligingsbedrijven als mijnbouw Trojan. De mining-functionaliteit kan op dit moment niet worden bevestigd in tegenstelling tot de DDoS die reeds in gebruik is.
De meest interessante feit over het Godlua achterdeur is dat het een redundante communicatie mechanisme dat wordt gebruikt voor de command and control (c2) verbinding. Het is een combinatie van hardcoded DNS-naam, Pastebin.com, GitHub.com en een DNS TXT die worden gebruikt om de c2 adres op te slaan. Dit gedrag is zelden gezien in een malware. Bovendien, de achterdeur maakt gebruik van HTTPS downloaden Lua byte-code-bestanden, en maakt gebruik van DNS via HTTPS om de naam C2 naar veilige communicatie tussen de bots te verzekeren, de Web Server en de C2, rapporteerden de onderzoekers.
Zoals reeds gezegd, het primaire doel van Godlua lijkt gerelateerd te zijn aan DDoS-aanvallen. Het is al aangetroffen in actieve campagnes in een HTTP-flood aanval tegen de liuxiaobei[.]com domein.
De onderzoekers moeten meer van Godlua zien in staat zijn om de manier waarop de backdoor infecteert haar doelstellingen te bepalen. Tot nu toe het enige dat bekend is, is dat de malware maakt gebruik van de zogenaamde Confluence exploiteren (CVE-2019-3396) Linux-gebruikers richten.
CVE-2019-3396 is een kwetsbaarheid die zich bevindt in de Widget Connector macro in Atlassian Confluence Server voordat versie 6.6.12 (de vaste versie voor 6.6.x), vanaf versie 6.7.0 voor 6.12.3 (de vaste versie voor 6.12.x), vanaf versie 6.13.0 voor 6.13.3 (de vaste versie voor 6.13.x), en vanaf versie 6.14.0 voor 6.14.2 (de vaste versie voor 6.14.x).
Het lek maakt het mogelijk externe aanvallers path traversal en uitvoering van externe code op een Confluence-server of Data Center bijvoorbeeld via server-side template injectie te bereiken, als toegelicht in het officiële adviesorgaan.
De suggestie van de onderzoekers is op zijn minst “monitoren en blokkeren de relevante IP, URL en de domeinnaam van Godlua Backdoor op uw netwerk". De volledige technische openbaarmaking van Godlua backdoor is beschikbaar.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: