بدافزار جدید Godlua که می‌تواند کانال‌های ارتباطی خود را پنهان کند کاربران ویندوز و لینوکس را هدف گرفته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی یک بدافزار back door جدید مبتنی بر Lua با قابلیت هدف قرار دادن کاربران ویندوز و لینوکس کشف شده‌است که می‌تواند کانال‌های ارتباطی خود را از طریق DNS بر روی (HTTPS (DoH امن نگه دارد.

بدافزار کشف‌شده، Godlua نام دارد و با محافظت از کانال‌های ارتباطی خود بین سرورهای فرمان و کنترل، سیستم‌های آلوده و سرورهای تحت کنترل مهاجم از تحلیل ترافیک خود توسط پژوهشگران جلوگیری می‌کند.

به‌نظر می‌رسد که قابلیت اصلی بدافزار Godlua عمل کردن به عنوان یک بات DDoS باشد. تاکنون دو نمونه از در پشتی Godlua شناسایی شده که یکی از آنها با نسخه ۲۰۱۸۱۱۰۵۱۵۵۶ در حال هدف قرار دادن سیستم‌های لینوکسی است و دیگری می‌تواند رایانه‌های ویندوزی آلوده کند. نسخه ویندوزی بدافزار (نسخه ۲۰۱۹۰۴۱۵۱۰۳۷۱۳ ~ ۲۰۱۹۰۶۲۱۱۷۴۷۳) دارای دستورهای بیشتری است و از معماری‌های پردازنده بیشتری پشتیبانی می‌کند. نسخه لینوکسی بدافزار تاکنون به‌روزرسانی نشده اما نمونه دوم کشف شده در حال به‌روزرسانی توسط توسعه‌دهندگان خود است. نسخه لینوکسی تنها دارای دو دستور است که شامل اجرای فایل‌های سفارشی و دستورهای لینوکسی می‌شود، اما نسخه ویندوزی از پنج دستور پشتیبانی می‌کند.

بردار حمله برای هدف قرار دادن سیستم‌های لینوکسی آسیب‌پذیری CVE-۲۰۱۹-۳۳۹۶ است. با این حال پژوهشگران در حال شناسایی بردارهای حمله دیگر هستند.

پروتکل DNS بر روی HTTPS یا DoH از اکتبر سال ۲۰۱۸ به عنوان یک پروتکل استاندارد پذیرفته شده است و در حال حاضر توسط تعداد زیادی از سرورهای DNS در دسترس عموم، همچنین مرورگرهای وب مانند Chrome و Firefox پشتیبانی می‌شود. این روش حریم خصوصی دستورهای DNS را با قرار دادن آنها در کانال‌های ارتباطی HTTPS افزایش می‌دهد که این کار به طور موثر دستکاری و شنود آنها توسط سرویس‌های ثالث را مسدود می‌کند.

بدافزار Godlua با سوء‌استفاده از پروتکل DoH آدرس‌های سرورهای فرمان و کنترل را در حین فرایند آلودگی مخفی می‌کند.

به گفته پژوهشگران، این اولین بدافزاری است که با تکنیک DoH زیرساخت‌های ارتباطی خود را پنهان می‌کند.