هشدارهای افتایی
به تازگی یک بدافزار درپشتی جدید مبتنی بر Lua با قابلیت هدف قرار دادن کاربران ویندوز و لینوکس کشف شده است که می‌تواند کانال‌های ارتباطی خود را از طریق DNS بر روی (HTTPS (DoH امن نگه دارد.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، بدافزار کشف شده، Godlua نام دارد و با محافظت از کانال‌های ارتباطی خود بین سرورهای فرمان و کنترل، سیستم‌های آلوده و سرورهای تحت کنترل مهاجم، از تحلیل ترافیک خود توسط پژوهشگران جلوگیری می‌کند.
بنظر می‌رسد که قابلیت اصلی بدافزار Godlua عمل کردن به عنوان یک بات DDoS باشد. تاکنون دو نمونه از درپشتی Godlua شناسایی شده که یکی از آن‌ها با نسخه 201811051556 در حال هدف قرار دادن سیستم‌های لینوکسی است و دیگری می‌تواند رایانه‌های ویندوزی آلوده کند. نسخه ویندوزی بدافزار (نسخه 20190415103713 ~ 2019062117473) دارای دستورهای بیشتری است و از معماری‌های پردازنده بیشتری پشتیبانی می‌کند. نسخه لینوکسی بدافزار تاکنون به‌روزرسانی نشده اما نمونه دوم کشف شده در حال به‌روزرسانی توسط توسعه‌دهندگان خود است. نسخه لینوکسی تنها دارای دو دستور است که شامل اجرای فایل‌های سفارشی و دستورهای لینوکسی می‌شود، اما نسخه ویندوزی از پنج دستور پشتیبانی می‌کند.
بردار حمله برای هدف قرار دادن سیستم‌های لینوکسی آسیب‌پذیری CVE-2019-3396 است. با این حال پژوهشگران در حال شناسایی بردارهای حمله دیگر هستند.
پروتکل DNS بر روی HTTPS یا DoH از اکتبر سال 2018 به عنوان یک پروتکل استاندارد پذیرفته شده است و در حال حاضر توسط تعداد زیادی از سرورهای DNS در دسترس عموم، همچنین مرورگرهای وب مانند Chrome و Firefox پشتیبانی می‌شود. این روش حریم خصوصی دستورهای DNS را با قرار دادن آن‌ها در کانال‌های ارتباطی HTTPS افزایش می‌دهد که این کار به طور موثر دستکاری و شنود آن‌ها توسط سرویس‌های ثالث را مسدود می‌کند. بدافزار Godlua با سوء استفاده از پروتکل DoH آدرس‌های سرورهای فرمان و کنترل را در حین فرایند آلودگی مخفی می‌کند. به گفته پژوهشگران، این اولین بدافزاری است که با تکنیک DoH زیرساخت‌های ارتباطی خود را پنهان می‌کند.
نشانه‌های آلودگی (IoC):
هش‌ها:
•    870319967dba4bd02c7a7f8be8ece94f
•    c9b712f6c347edde22836fb43b927633
•    75902cf93397d2e2d1797cd115f8347a
URLها:
•    https://helegedada.github.io/test/test
•    https://api.github.com/repos/helegedada/heihei
•    http://198.204.231.250/linux-x64
•    http://198.204.231.250/linux-x86
•    https://dd.heheda.tk/i.jpg
•    https://dd.heheda.tk/i.sh
•    https://dd.heheda.tk/x86_64-static-linux-uclibc.jpg
•    https://dd.heheda.tk/i686-static-linux-uclibc.jpg
•    https://dd.cloudappconfig.com/i.jpg
•    https://dd.cloudappconfig.com/i.sh
•    https://dd.cloudappconfig.com/x86_64-static-linux-uclibc.jpg
•    https://dd.cloudappconfig.com/arm-static-linux-uclibcgnueabi.jpg
•    https://dd.cloudappconfig.com/i686-static-linux-uclibc.jpg
•    http://d.cloudappconfig.com/i686-w64-mingw32/Satan.exe
•    http://d.cloudappconfig.com/x86_64-static-linux-uclibc/Satan
•    http://d.cloudappconfig.com/i686-static-linux-uclibc/Satan
•    http://d.cloudappconfig.com/arm-static-linux-uclibcgnueabi/Satan
•    https://d.cloudappconfig.com/mipsel-static-linux-uclibc/Satan
دامنه‌ها:
•    d.heheda.tk
•    dd.heheda.tk
•    c.heheda.tk
•    d.cloudappconfig.com
•    dd.cloudappconfig.com
•    c.cloudappconfig.com
•    f.cloudappconfig.com
•    t.cloudappconfig.com
•    v.cloudappconfig.com
•    img0.cloudappconfig.com
•    img1.cloudappconfig.com
•    img2.cloudappconfig.com
IPها:
•    198.204.231.250
•    104.238.151.101
•    43.224.225.220
منابع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.