بدافزار جدید Godlua که میتواند کانالهای ارتباطی خود را پنهان کند کاربران ویندوز و لینوکس را هدف گرفتهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به تازگی یک بدافزار back door جدید مبتنی بر Lua با قابلیت هدف قرار دادن کاربران ویندوز و لینوکس کشف شدهاست که میتواند کانالهای ارتباطی خود را از طریق DNS بر روی (HTTPS (DoH امن نگه دارد.
بدافزار کشفشده، Godlua نام دارد و با محافظت از کانالهای ارتباطی خود بین سرورهای فرمان و کنترل، سیستمهای آلوده و سرورهای تحت کنترل مهاجم از تحلیل ترافیک خود توسط پژوهشگران جلوگیری میکند.
بهنظر میرسد که قابلیت اصلی بدافزار Godlua عمل کردن به عنوان یک بات DDoS باشد. تاکنون دو نمونه از در پشتی Godlua شناسایی شده که یکی از آنها با نسخه ۲۰۱۸۱۱۰۵۱۵۵۶ در حال هدف قرار دادن سیستمهای لینوکسی است و دیگری میتواند رایانههای ویندوزی آلوده کند. نسخه ویندوزی بدافزار (نسخه ۲۰۱۹۰۴۱۵۱۰۳۷۱۳ ~ ۲۰۱۹۰۶۲۱۱۷۴۷۳) دارای دستورهای بیشتری است و از معماریهای پردازنده بیشتری پشتیبانی میکند. نسخه لینوکسی بدافزار تاکنون بهروزرسانی نشده اما نمونه دوم کشف شده در حال بهروزرسانی توسط توسعهدهندگان خود است. نسخه لینوکسی تنها دارای دو دستور است که شامل اجرای فایلهای سفارشی و دستورهای لینوکسی میشود، اما نسخه ویندوزی از پنج دستور پشتیبانی میکند.
بردار حمله برای هدف قرار دادن سیستمهای لینوکسی آسیبپذیری CVE-۲۰۱۹-۳۳۹۶ است. با این حال پژوهشگران در حال شناسایی بردارهای حمله دیگر هستند.
پروتکل DNS بر روی HTTPS یا DoH از اکتبر سال ۲۰۱۸ به عنوان یک پروتکل استاندارد پذیرفته شده است و در حال حاضر توسط تعداد زیادی از سرورهای DNS در دسترس عموم، همچنین مرورگرهای وب مانند Chrome و Firefox پشتیبانی میشود. این روش حریم خصوصی دستورهای DNS را با قرار دادن آنها در کانالهای ارتباطی HTTPS افزایش میدهد که این کار به طور موثر دستکاری و شنود آنها توسط سرویسهای ثالث را مسدود میکند.
بدافزار Godlua با سوءاستفاده از پروتکل DoH آدرسهای سرورهای فرمان و کنترل را در حین فرایند آلودگی مخفی میکند.
به گفته پژوهشگران، این اولین بدافزاری است که با تکنیک DoH زیرساختهای ارتباطی خود را پنهان میکند.