I ricercatori del Network Security Research Lab di Qihoo 360 hanno scoperto una backdoor basata su Lua, il linguaggio di programmazione più amato dai fan di World of Warcraft, soprannominata Godlua. Tale vulnerabilità sembrerebbe impattare i sistemi Linux e Windows e la vera particolarità di questo nuovo malware è la capacità di poter comunicare con i server C2 tramite DNS su HTTPS (DoH) per auto-proteggersi.
DoH è un nuovo standard proposto nell’ottobre 2018 ed è attualmente supportato da diversi server DNS pubblici disponibili (per lo standard LINK). Alcuni browser Web, tra cui Google Chrome e Mozilla Firefox, supportano già tale standard.
Godlua è un bot DDoS le cui particolarità sono molto simili agli attacchi che hanno colpito il dominio liuxiaobei [.] Com.
Gli esperti hanno dunque analizzato due campioni della backdoor Godlua, uno per i box Linux (versione 201811051556) e l’altro per i sistemi Windows, quest’ultimo che supporta più comandi incorporati e più architetture CPU (versione 20190415103713 ~ 2019062117473). In Linux il malware può eseguire file personalizzati ed eseguire comandi Linux.
La seconda variante. versione 20190415103713 ~ 20190621174731, è in grado di infettare invece sia Windows che Linux, il suo control module è implementato in Lua e supporta ben cinque comandi C2.
Gli esperti di Qihoo 360 stanno studiando i vettori di infezione e hanno scoperto che alcune macchine Linux sono state infettate sfruttando l’exploit scoperto per Confluence – CVE-2019-3396 (maggiori dettagli sulla vulnerabilità).
Tornando a DoH, uno degli obiettivi del protocollo è quello di aumentare la privacy e la sicurezza degli utenti impedendo l’intercettazione e la manipolazione dei dati DNS e lo stesso protocollo è utilizzato dalla backdoor Godlua per nascondere le comunicazioni con i server C2 ( anche conosciuti come C&C).
I ricercatori scrivono: “Godlua Backdoor has a redundant communication mechanism for C2 connection, a combination of hardcoded dns name, Pastebin.com, GitHub.com as well as DNS TXT are used to store the C2 address, which is not something we see often.” states the analysis. “At the same time, it uses HTTPS to download Lua byte-code files, and uses DNS over HTTPS to get the C2 name to ensure secure communication between the bots, the Web Server and the C2.”
Godlua è il primo malware che abusa del protocollo DNS su HTTPS (DoH) per proteggere la sua infrastruttura di comando e controllo.
Per maggiori dettagli ecco il link della ricerca LINK