El nuevo malware Godlua evade la supervisión del tráfico a través de DNS a través de HTTPS

El nuevo malware Godlua evade la supervisión del tráfico a través de DNS a través de HTTPS
4.8 (95%) 8 votos

Godlua Malware evade el monitoreo del tráfico a través de DNS a través de HTTPS, apunta a Linux y Windows

Un malware de puerta trasera basado en Lua capaz de apuntar tanto a Linux como a Windows Los investigadores del Network Security Research Lab de Qihoo 360 descubrieron usuarios mientras aseguraban sus canales de comunicación a través de DNS a través de HTTPS (DoH).

Al usar DoH para encapsular los canales de comunicación entre los servidores de comando y control, las máquinas infectadas y los servidores controlados por el atacante dentro de las solicitudes HTTPS, el malware denominado Godlua logra bloquear a los investigadores para que no analicen su tráfico.

La funci√≥n principal de Godlua parece ser la de un bot DDoS y ya se vio en acci√≥n cuando sus maestros lanzaron un ataque de inundaci√≥n HTTP contra el dominio liuxiaobei (.) Com, seg√ļn lo observado por los investigadores de Qihoo 360.

Hasta ahora, se han encontrado dos muestras de la puerta trasera Godlua, una de ellas dirigida solo a cajas de Linux (versión 201811051556) mientras que la otra también puede infectar Windows computadoras, tiene más comandos integrados y admite más arquitecturas de CPU (versión 20190415103713 ~ 2019062117473)

Versiones de Godlua "height =" 111 "width =" 842 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/July 2019 / Godlua version.PNG "class =" b-lazy "/><strong>Versiones de Godlua</strong></figure>
<p>Si bien la versión de Godlua 201811051556 ya no se está actualizando, sus desarrolladores están actualizando activamente la segunda muestra, lo que podría ser la razón detrás de sus características adicionales y soporte multiplataforma.</p><div class='code-block code-block-11 ai-viewport-3' style='margin: 8px auto; text-align: center; display: block; clear: both;'>
<script async src=

La versión que se centra solo en la plataforma Linux puede recibir solo dos tipos de instrucciones de su servidor de comando y control (C2), lo que permite a los atacantes ejecutar archivos personalizados y ejecutar comandos de Linux.

Recomendamos:  Revisi√≥n del rat√≥n Roccat Leadr Gaming

La segunda variante viene con soporte para cinco comandos C2 y "descarga muchos scripts Lua cuando se ejecuta, y los scripts se pueden dividir en tres categorías: ejecución, auxiliar y ataque".

Mecanismos redundantes C2 "height =" 218 "width =" 670 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/Julio 2019 / C2 redundant mecanismos.png "class =" b -perezoso "/></p>
<p>A pesar de que se descubrió que varias máquinas Linux estaban infectadas con la puerta trasera Godlua utilizando un exploit de Confluence para <a target=CVE-2019-3396, Los investigadores de Qihoo 360 todavía están buscando vectores de infección adicionales.

DNS sobre HTTPS utilizado para proteger el tr√°fico C2

Aunque bastante nuevo, el protocolo DoH es un norma propuesta a partir de octubre de 2018 y ya es compatible con una lista bastante larga de servidores DNS disponibles p√ļblicamente, as√≠ como navegadores web como Google Chrome y Mozilla Firefox.

DoH aumenta la privacidad de las consultas DNS envolviéndolas dentro de los canales de comunicación HTTPS que efectivamente bloquean tanto el espionaje como la manipulación de datos DNS por parte de terceros entre el cliente y el servidor DNS.

Solicitud DNS sobre HTTPS "height =" 189 "width =" 722 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/July 2019 / DNS over HTTPS Request.PNG "class = "b-vago" /><strong>Solicitud de DNS sobre HTTPS</strong></figure>
<p>Al abusar del protocolo DoH, el malware Godlua oculta las URL de los servidores C2 utilizados durante las etapas posteriores del proceso de infección de las miradas indiscretas, URL que obtiene del registro DNS TXT de un dominio que recopila durante la primera etapa.</p>
<p>Godlua es el primer malware observado que hace uso del DNS sobre el protocolo HTTPS para ocultar parte de su infraestructura C2 a analistas y herramientas de an√°lisis antimalware seg√ļn el investigador de amenazas Cisco Talos <a target=Nick Biasini.

El equipo de investigación de Qihoo 360 proporciona más detalles sobre cómo este malware se comunica con su infraestructura C2 e indicadores de compromiso (IOC). Análisis de la puerta trasera de Godlua.

Recomendamos:  Las primeras unidades del Galaxy Fold est√°n presentando problemas


Dej√°nos tus Comentarios: