Обнаружен первый вредонос, использующий протокол DNS поверх HTTPS

Обнаружен первый вредонос, использующий протокол DNS поверх HTTPS

Исследователи компании Netlab утверждают, что им удалось обнаружить первую вредоносную программу, использующую протокол DNS поверх HTTPS (DNS over HTTPS, DoH). Вредонос получил имя Godlua.

Эксперты подробно описали Godlua в отчете, согласно которому вредоносная программа написана на языке Lua, имеет признаки бэкдора и приспособлена для работы на серверах Linux.

При этом стоящие за ней злоумышленники используют эксплойт Confluence (CVE-2019-3396) для заражения непропатченных систем. Ранние сэмплы Godlua были загружены на VirusTotal, где антивирусы ошибочно приняли вредонос за криптомайнер.

Специалисты Netlab уточняют, что зловред работает в качестве DDoS-бота, киберпреступники уже использовали его в атаках на liuxiaobei.com.

В настоящее время существуют две версии Godlua, обе используют DNS поверх HTTPS для получения текстовых записей DNS и извлечения URL командного сервера C&C.

DoH-запросы зашифрованы и, соответственно, невидимы для сторонних глаз. Это помогает обойти антивирусные продукты, которые мониторят запросы к вредоносным доменам.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обострение борьбы на рынке SIEM: эксперт Group-IB перешёл в RuSIEM

Компания «Русием» представляет нового технического директора —  Антона Фишмана, ведущего эксперта по информационной безопасности, ИТ-технологиям и разработке систем.

Антон с отличием окончил Академию «РАНХиГС» по специальности «Компьютерные технологии в бизнесе».  В период с 2006 по 2015 работал в крупных компаниях и организациях, таких как Систематика, ВСС и Росреестр, занимаясь проектами по разработке систем автоматизации, построению систем безопасности и созданию ИТ-инфраструктуры. В 2015-2017 гг. занимал пост директора по информационным технологиям и проектному бизнесу в компании Incity (Incity,Deseo). С 2017 по 2020 год являлся руководителем департамента системных решений компании Group-IB.

 «Моя основная задача в компании RuSIEM, — говорит Антон Фишман, — усиление команды проектирования и разработки, а также развитие продукта с учетом самых перспективных технологических трендов и наиболее значимых вызовов рынка информационной безопасности. Совершенствование аналитических инструментов, использование современных технологий выявления аномалий, предиктивная аналитика, удобный интерфейс с функционалом оркестрации и реагирования на инциденты и Threat Hunting-а — вот основа для построения SOC-ов нового поколения, а следовательно, и современных SIEM-систем».

Новый технический директор уверен, что система RuSIEM обладает огромным технологическим и коммерческим потенциалом, и планирует вместе со своей командой вывести это программное решение в лидеры отечественного рынка и выйти на рынки Европы и Азии.

Основатель компании RuSiem Максим Степнченков приветствовал решение Антона Фишмана присоединиться к команде разработки:

«С Антоном мы знакомы давно, на мой взгляд, это один из ведущих визионеров рынка ИБ, авторитетнейший эксперт по безопасности и прекрасный командный игрок. Нисколько не сомневаюсь, что его опыт даст серьезный толчок развитию продукта».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru