Обнаружен первый вредонос, использующий протокол DNS поверх HTTPS

Исследователи компании Netlab утверждают, что им удалось обнаружить первую вредоносную программу, использующую протокол DNS поверх HTTPS (DNS over HTTPS, DoH). Вредонос получил имя Godlua.

Эксперты подробно описали Godlua в отчете, согласно которому вредоносная программа написана на языке Lua, имеет признаки бэкдора и приспособлена для работы на серверах Linux.

При этом стоящие за ней злоумышленники используют эксплойт Confluence (CVE-2019-3396) для заражения непропатченных систем. Ранние сэмплы Godlua были загружены на VirusTotal, где антивирусы ошибочно приняли вредонос за криптомайнер.

Специалисты Netlab уточняют, что зловред работает в качестве DDoS-бота, киберпреступники уже использовали его в атаках на liuxiaobei.com.

В настоящее время существуют две версии Godlua, обе используют DNS поверх HTTPS для получения текстовых записей DNS и извлечения URL командного сервера C&C.

DoH-запросы зашифрованы и, соответственно, невидимы для сторонних глаз. Это помогает обойти антивирусные продукты, которые мониторят запросы к вредоносным доменам.