Casa > cibernético Notícias > Godlua Backdoor Uses CVE-2019-3396 to Target Linux Users
CYBER NEWS

Godlua Backdoor Usa CVE-2019-3396 para usuários de destino do Linux

Há um novo pedaço de malware backdoor avançado que pode direcionar ambos os sistemas Linux e Windows de forma segura, comunicação inédita. O backdoor foi apelidado Godlua, como é Lua-base e “o arquivo byte-code Lua carregado por esta amostra tem um número mágico de “Deus”. O objetivo principal do backdoor parece ser DDoS.




Godlua Backdoor: detalhes

De acordo com Qihoo 360 pesquisadores, há duas versões do Godlua:

Versão 201811051556 é obtido por deslocamento servidores de download Godlua e não houve atualização sobre ele. Versão 20190415103713 ~ 2019062117473 está ativo e está ativamente sendo atualizado. Eles são todos escritos em C, mas os suportes de um ativo mais plataformas de computador e mais recursos.

O malware foi descoberto em abril de 24 este ano, quando o sistema de detecção de ameaças dos pesquisadores detectaram um arquivo ELF suspeito, que foi marcado por outros fornecedores de segurança como um Trojan de mineração. A funcionalidade de mineração atualmente não pode ser confirmada ao contrário dos DDoS, que já está em uso.

O fato interessante mais sobre o Godlua backdoor é que ele tem um mecanismo de comunicação redundante usado para o comando e controle (c2) conexão. É uma combinação de nome de DNS codificado, Pastebin.com, GitHub.com e um TXT DNS que são usados ​​para armazenar o endereço c2. Este comportamento é raramente visto em qualquer malware. além disso, o backdoor utiliza HTTPS download de arquivos byte-código Lua, e usos DNS através de HTTPS para obter o nome C2 para garantir uma comunicação segura entre os bots, o Web Server eo C2, os pesquisadores relataram.

Como já mencionado, o objetivo principal de Godlua parece estar relacionada a ataques DDoS. Já foi detectado em campanhas ativas em um ataque de inundação HTTP contra o liuxiaobei[.]com domínio.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/yowai-botnet-mirai-thinkphp-vulnerability/”] Yowai Botnet, Variante de Mirai, Explora vulnerabilidade ThinkPHP Conhecido

Os pesquisadores precisam para ver mais de Godlua para ser capaz de determinar a forma como o backdoor infecta suas metas. Até agora, a única coisa que se sabe é que o malware utiliza o chamado Confluence explorar (CVE-2019-3396) para direcionar os usuários do Linux.

CVE-2019-3396 é uma vulnerabilidade que reside no macro Widget Connector em Atlassian Confluence Server antes versão 6.6.12 (a versão fixa para 6.6.x), a partir da versão 6.7.0 antes 6.12.3 (a versão fixa para 6.12.x), a partir da versão 6.13.0 antes 6.13.3 (a versão fixa para 6.13.x), e da versão 6.14.0 antes 6.14.2 (a versão fixa para 6.14.x).

A vulnerabilidade permite que atacantes remotos para conseguir passagem de caminho e execução remota de código em uma instância Confluence Server ou Data Center via injeção modelo do lado do servidor, Como explicado no consultivo oficial.

sugestão dos pesquisadores é a pelo menos “monitorar e bloquear o IP relevante, URL e nome de domínio de Godlua Backdoor em sua rede”. divulgação técnico completo de Godlua backdoor está disponível.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...