Atlassian Confluence Server містить вразливість CVE-2019-3396, через яку проникає шкідливе ПЗ, що використовує протокол DNS поверх HTTPS (DoH)
Atlassian Confluence Server містить вразливість CVE-2019-3396, через яку проникає шкідливе ПЗ, що використовує протокол DNS поверх HTTPS (DoH)
Дослідники підрозділу Netlab китайської ІБ-компанії Qihoo 360 виявили перший у світі зразок шкідливого ПЗ, що використовує протокол DNS поверх HTTPS (DoH).
Шкідливе програмне забезпечення Godlua написане мовою Lua і на зараженій системі відіграє роль бекдора. Зловмисники використовують його для зараження застарілих Linux-серверів через вразливість у Atlassian Confluence Server (CVE-2019-3396).
Завантажені на VirusTotal ранні версії шкідливості були помилково класифіковані як майнери криптовалют, але насправді Godlua є DDoS-ботом, який вже використовується в реальних атаках. На даний момент дослідники виявили лише два зразки шкідливості зі схожою архітектурою. Обидві версії використовують DoH-запити на текстові записи DNS, які містять URL-адресу C&C-сервера, до якого Godlua підключається для отримання інструкцій.
Сама собою техніка отримання URL-адреси C&C-сервера з текстового запису DNS далеко не нова. Нове тут – використання DoH-запитів замість стандартних DNS-запитів. Як випливає з назви протоколу, DNS поверх HTTPS надсилає DNS-запити HTTPS. Запити DoH є зашифрованими та невидимими для сторонніх спостерігачів, у тому числі для рішень безпеки, які використовують пасивний моніторинг DNS для блокування запитів до відомих шкідливих доменів.
Експерти занепокоєні тим, що незабаром оператори інших шкідників візьмуть на озброєння цю техніку, зробивши величезну кількість ІБ-рішень марними.
