DDoS-бот Godlua использует DoH для сокрытия трафика

DDoS-бот Godlua использует DoH для сокрытия трафика

Новый Linux-зловред проникает на серверы Confluence с помощью эксплойта, открывает бэкдор и ждет команд на проведение DDoS-атаки. Отличительная черта Godlua, как его называют в Qihoo 360, — использование протокола DoH (DNS поверх HTTPS) для получения URL центра управления из текстовой записи DNS.

Случаи поиска C&C-адреса вредоносным ПО через обращение к таким записям встречались и ранее, однако с запросами DoH вместо классических DNS аналитики столкнулись впервые.

Протокол DoH (RFC 8484) пока имеет статус предлагаемого стандарта; как следует из названия, он предполагает передачу DNS-запросов по защищенным HTTPS-каналам, то есть с использованием шифрования. Поддержка DoH уже введена в браузерах Firefox and Chrome, а CDN-провайдер Cloudfare в прошлом году запустил пробный DoH-сервис.

С точки зрения злоумышленника подобный протокол хорош тем, что позволяет прятать DNS-запросы в общем HTTPS-трафике и препятствует просмотру их содержимого. Защитные решения, полагающиеся на пассивный мониторинг DNS-трафика, в этом случае окажутся бесполезными, так как не смогут блокировать обращения к доменам, внесенным в черные списки.

Анализ Godlua показал, что DoH-запросы — не единственный способ связи этого зловреда с командным сервером. Он также может использовать вшитое в код доменное имя или свои страницы на Pastebin и GitHub с готовыми ссылками.

Новый бот написан на Lua и распространяется посредством эксплуатации RCE-уязвимости CVE-2019-3396 в вики-системе Confluence. Патч для нее вышел 20 марта, и через три недели последовали первые атаки — сразу после публикации PoC-кода. На тот момент злоумышленники пытались с помощью нового эксплойта раздавать шифровальщик GandCrab 5.2, а в конце апреля стало известно, что CVE-2019-3396 также взяли на вооружение операторы DDoS-ботнета AESDDoS.

Godlua тоже способен проводить DDoS-атаки; исследователи даже зафиксировали несколько инцидентов с его участием. По их словам, новый Linux-бот пока владеет единственной техникой — HTTP Flood.

На настоящий момент выявлены две схожие модификации Godlua. Одна из них ориентирована на процессоры с микроархитектурой  х86 и х86-64, другая вдобавок поддерживает ARM и MIPSel. К тому же, в отличие от первой версии, вторая активно обновляется.

Источник: //threatpost.ru/godlua-ddos-bot-uses-doh-protocol-to-hide-its-dns-traffic/33354/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *