Обнаружен первый вредонос, использующий протокол DNS поверх HTTPS

Олег Иванов 04 Июля 2019 - 09:52

Домашние пользователи

...

Исследователи компании Netlab утверждают, что им удалось обнаружить первую вредоносную программу, использующую протокол DNS поверх HTTPS (DNS over HTTPS, DoH). Вредонос получил имя Godlua.

Эксперты подробно описали Godlua в отчете, согласно которому вредоносная программа написана на языке Lua, имеет признаки бэкдора и приспособлена для работы на серверах Linux.

При этом стоящие за ней злоумышленники используют эксплойт Confluence (CVE-2019-3396) для заражения непропатченных систем. Ранние сэмплы Godlua были загружены на VirusTotal, где антивирусы ошибочно приняли вредонос за криптомайнер.

Специалисты Netlab уточняют, что зловред работает в качестве DDoS-бота, киберпреступники уже использовали его в атаках на liuxiaobei.com.

В настоящее время существуют две версии Godlua, обе используют DNS поверх HTTPS для получения текстовых записей DNS и извлечения URL командного сервера C&C.

DoH-запросы зашифрованы и, соответственно, невидимы для сторонних глаз. Это помогает обойти антивирусные продукты, которые мониторят запросы к вредоносным доменам.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 05 Сентября 2025 - 10:20

Соответствие законодательству РФ Домашние пользователи Государство

Прекращено уголовное дело против Сергея Мацоцкого

Следствие прекратило уголовное дело против сооснователя IBS, бывшего члена совета директоров Альфа-банка и «Вымпелкома» Сергея Мацоцкого за отсутствием причастности к преступлению. Ранее его обвиняли в даче взяток в особо крупном размере.

Об этом сообщил ТАСС со ссылкой на материалы следствия. Постановления о заочном аресте и объявлении Мацоцкого в международный розыск также отменены.

«Уголовное преследование в отношении Мацоцкого, обвиняемого в совершении двух преступлений, предусмотренных ст. 291 ч. 5 УК РФ (дача взятки в особо крупном размере), прекращено на основании п. 1 ч. 1 ст. 27 УПК РФ — в связи с установлением его непричастности к совершению преступления», — говорится в материалах следствия.

О возбуждении уголовного дела против Сергея Мацоцкого стало известно 18 июля. В тот же день Басманный суд Москвы заочно избрал ему меру пресечения в виде ареста.

Сергей Мацоцкий считается одним из наиболее влиятельных представителей российского ИТ-рынка. Его состояние оценивается примерно в 14,5 млрд рублей.