Виявлено перше в світі шкідливе ПЗ, що використовує DoH-запити

12:06
Виявлено перше в світі шкідливе ПЗ, що використовує DoH-запити
    Дослідники підрозділи Netlab китайської ІБ-компанії Qihoo 360 виявили перший в світі зразок шкідливого ПЗ, що використовує протокол DNS поверх HTTPS (DoH).
  Шкідливе ПЗ Godlua написано на мові Lua і на зараженій системі грає роль бекдора. Зловмисники використовують його для зараження застарілих Linux-серверів через уразливість в Atlassian Confluence Server (CVE-2019-3396).
    Завантажені на VirusTotal ранні версії шкідника були помилково класифіковані як майнер криптовалюти, але насправді Godlua є DDoS-ботом, що вже використовуэться в реальних атаках. На даний момент дослідники виявили тільки два зразки шкідника зі схожою архітектурою. Обидві версії використовують DoH-запити на текстові записи DNS, що містять URL-адресу C & C-сервера, до якого Godlua підключається для отримання інструкцій.
    Сама по собі техніка отримання URL-адреси C & C-сервера з текстового запису DNS далеко не нова. Нове тут — використання DoH-запитів замість стандартних DNS-запитів. Як випливає з назви протоколу, DNS поверх HTTPS відправляє DNS-запити по HTTPS. DoH-запити є зашифрованими і невидимими для сторонніх спостерігачів, в тому числі для рішень безпеки, що використовують пасивний моніторинг DNS для блокування запитів до відомих шкідливих доменів.
   Експерти стурбовані тим, що незабаром оператори інших шкідників візьмуть на озброєння цю техніку, зробивши величезне число ІБ-рішень марними.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.