Há um novo pedaço de malware backdoor avançado que pode direcionar ambos os sistemas Linux e Windows de forma segura, comunicação inédita. O backdoor foi apelidado Godlua, como é Lua-base e “o arquivo byte-code Lua carregado por esta amostra tem um número mágico de “Deus”. O objetivo principal do backdoor parece ser DDoS.
Godlua Backdoor: detalhes
De acordo com Qihoo 360 pesquisadores, há duas versões do Godlua:
Versão 201811051556 é obtido por deslocamento servidores de download Godlua e não houve atualização sobre ele. Versão 20190415103713 ~ 2019062117473 está ativo e está ativamente sendo atualizado. Eles são todos escritos em C, mas os suportes de um ativo mais plataformas de computador e mais recursos.
O malware foi descoberto em abril de 24 este ano, quando o sistema de detecção de ameaças dos pesquisadores detectaram um arquivo ELF suspeito, que foi marcado por outros fornecedores de segurança como um Trojan de mineração. A funcionalidade de mineração atualmente não pode ser confirmada ao contrário dos DDoS, que já está em uso.
O fato interessante mais sobre o Godlua backdoor é que ele tem um mecanismo de comunicação redundante usado para o comando e controle (c2) conexão. É uma combinação de nome de DNS codificado, Pastebin.com, GitHub.com e um TXT DNS que são usados para armazenar o endereço c2. Este comportamento é raramente visto em qualquer malware. além disso, o backdoor utiliza HTTPS download de arquivos byte-código Lua, e usos DNS através de HTTPS para obter o nome C2 para garantir uma comunicação segura entre os bots, o Web Server eo C2, os pesquisadores relataram.
Como já mencionado, o objetivo principal de Godlua parece estar relacionada a ataques DDoS. Já foi detectado em campanhas ativas em um ataque de inundação HTTP contra o liuxiaobei[.]com domínio.
Os pesquisadores precisam para ver mais de Godlua para ser capaz de determinar a forma como o backdoor infecta suas metas. Até agora, a única coisa que se sabe é que o malware utiliza o chamado Confluence explorar (CVE-2019-3396) para direcionar os usuários do Linux.
CVE-2019-3396 é uma vulnerabilidade que reside no macro Widget Connector em Atlassian Confluence Server antes versão 6.6.12 (a versão fixa para 6.6.x), a partir da versão 6.7.0 antes 6.12.3 (a versão fixa para 6.12.x), a partir da versão 6.13.0 antes 6.13.3 (a versão fixa para 6.13.x), e da versão 6.14.0 antes 6.14.2 (a versão fixa para 6.14.x).
A vulnerabilidade permite que atacantes remotos para conseguir passagem de caminho e execução remota de código em uma instância Confluence Server ou Data Center via injeção modelo do lado do servidor, Como explicado no consultivo oficial.
sugestão dos pesquisadores é a pelo menos “monitorar e bloquear o IP relevante, URL e nome de domínio de Godlua Backdoor em sua rede”. divulgação técnico completo de Godlua backdoor está disponível.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: