山海科技发展网

09月13日发现新的Godlua后门在HTTPS(DoH)协议上滥用DNS

导读 摘要 一个新发现的后门恶意软件Godlua被发现通过Atlassian Confluence Server(CVE-2019-3396)中的漏洞对过时的Linux系统进行DDoS...

摘要 一个新发现的后门恶意软件Godlua被发现通过Atlassian Confluence Server(CVE-2019-3396)中的漏洞对过时的Linux系统进行DDoS攻击。

一个新发现的后门恶意软件Godlua被发现通过Atlassian Confluence Server(CVE-2019-3396)中的漏洞对过时的Linux系统进行DDoS攻击。 这种基于Lua的恶意软件的独特之处在于,它滥用HTTPS(DoH)协议上的DNS,以保护漫游器,Web服务器和命令与控制(C&C)服务器之间的通信通道。

发现了该恶意软件的Netlab研究人员还发现,其背后的网络分子已经对liuxiaobei [。] com域发起了HTTP Flood攻击。 两个版本

研究人员到目前为止发现了该恶意软件的两个版本。 一个版本(版本201811051556)设计为针对Linux系统,而另一个版本(版本20190415103713〜2019062117473)设计为感染Windows计算机。 他们发现后者被更积极地更新,支持更多的计算机平台,并具有更多的功能。

Linux系统的版本仅从C&C服务器接收两种类型的命令,用于运行自定义文件和执行Linux命令。 Windows版本支持五个C&C命令并下载Lua脚本。 通过HTTPS(DoH)协议使用DNS

两个版本都使用基于HTTPS的DNS(DoH)协议来检索存储C&C服务器URL的域名的DNS文本记录。 从DNS文本记录中检索C&C的行为不是该恶意软件所独有的。 但是,它使用DoH请求而不是典型的DNS请求作为对恶意软件的规避策略。 使用DoH协议,DNS请求通常通过加密的HTTPS连接发送,从而增加了恶意软件通信渠道的私密性。

DoH协议仍相对较新,但现在已被许多DNS服务器支持,包括流行的Web浏览器(例如Google Chrome)。 安全建议

研究人员认为,Godlua后门仍在开发中,其他活动也可能在将来采用其对DoH协议的使用。 但是,某些安全措施可能会降低类似活动的有效性,例如防御用作恶意软件入口点的漏洞。

在这种情况下,一些攻击利用了Confluence漏洞(CVE-2019-3396),其中许多是加密货币挖矿活动。 这说明攻击者如何通过多种方式以及结合使用新旧恶意软件变体来利用漏洞。

趋势科技™趋势科技服务器深度安全防护系统™提供虚拟补丁程序,可保护服务器和端点免受威胁滥用关键应用程序中的漏洞的威胁。

Trend Micro™Deep Discovery™可通过专门的引擎,自定义沙盒以及在整个攻击生命周期中实现无缝关联,利用漏洞利用和其他类似威胁,对攻击进行检测,深入分析和主动响应,从而甚至可以检测威胁 无需引擎或模式更新。

趋势科技趋势科技服务器深度安全防护系统解决方案可保护用户系统免受可能针对以下漏洞规则的威胁: 1009705 – Atlassian Confluence服务器远程执行代码漏洞(CVE-2019-3396)

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢