Nuevo malware Godlua evade monitoreo de tráfico a través de DNS mediante HTTPS

05 Julio 2019
Alto

El Laboratorio de Investigación Qihoo 360, descubrió un malware de puerta trasera basado en Lua, capaz de dirigirse tanto a usuarios de Linux como de Windows mientras protege sus canales de comunicación a través de DNS sobre HTTPS (DoH).

El malware denominado Godlua logra bloquear al investigador para que no analicen su tráfico al usar DoH encapsulando los canales de comunicación entre los servidores de comando y control controlados por el atacante dentro de las solicitudes HTTPS. La función principal de Godlua es la de un bot DDoS, el cual ya se vio en acción cuando los ciberdelincuentes lanzaron un ataque de inundación HTTP contra el dominio liuxiaobei[.]com, como lo observaron los investigadores de Qihoo 360.

Hasta ahora, se han encontrado tres muestras del backdoor Godlua, dos de ellas dirigidas sólo a máquinas Linux, mientras que la otra también puede infectar a sistemas con Windows. La primera puede recibir solo dos tipos de instrucciones de su servidor de comando y control (C2) permitiendo a los atacantes abrir archivos personalizados y ejecutar comandos de Linux. La segunda variante viene con soporte para cinco comandos C2 y descarga muchos scripts Lua al ejecutarse, y estos pueden dividirse en tres categorías: “ejecutar, auxiliar y atacar”. A pesar de que se descubrió que varias máquinas Linux se habían infectado con Godlua utilizando un exploit de Confluence (CVE-2019-3396), los investigadores todavía están buscando vectores de infección adicionales.

Aunque el ataque es bastante nuevo, el protocolo DoH es un estándar propuesto desde octubre de 2018 y ya es compatible con una larga lista de servidores DNS disponibles públicamente, así como con navegadores web como Google Chrome y Mozilla Firefox.

Godlua es el primer malware observado que hace uso del protocolo DNS a través del protocolo HTTPS para ocultar parte de su infraestructura C2 de analistas y herramientas de análisis antimalware, según el investigador de amenazas de Cisco Talos, Nick Biasini.

- Para los usuarios que utilizan Confluence Server y Data Center se recomienda instalar los últimos parches de seguridad para que no se vean afectados por la vulnerabilidad CVE-2019-3396. Si no puede actualizar inmediatamente, entonces, como solución temporal puede ir a > Manage apps / add-ons seleccionar System y deshabilitar los siguientes complementos del sistema en Confluence: 

    - WebDAV plugin

    - Widget Connector

Si deshabilita el complemento Widget Connector, la macro ya no se encontrará disponible. Este se usa para mostrar el contenido de sitios web como Youtube, Vimeo y Twitter.

Si deshabilita el complemento WebDAV, no podrá conectarse a Confluence utilizando un cliente WebDAV. Deshabilitar este complemento también se verá afectado el conector de Office.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.

El listado de las CVE se adjunta a continuación:


Tags: #godlua #linux #windows #malware #http #dns #doh #ddos


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.