DoH so’rovlaridan foydalanadigan dunyodagi birinchi zararli dastur topildi.
Godlua zararli dasturi Atlassian Confluence Serverdagi zaiflik orqali eski Linux serverlarini yuqtiradi.
Xitoyning Qihoo 360 xavfsizlik kompaniyasi Netlab bo‘limi tadqiqotchilari HTTPS (DoH) protokoli orqali DNS’dan foydalanadigan dunyodagi birinchi zararli dastur namunasini topdilar. Godlua zararli dasturi Lua tilida yozilgan va zararlangan tizimda orqa eshik vazifasini bajaradi. Hujumchilar undan Atlassian Confluence Server (CVE-2019-3396)dagi zaiflik orqali eski Linux serverlarini yuqtirish uchun foydalanmoqda.
VirusTotal-ga yuklangan zararli dasturlarning dastlabki versiyalari xatolik bilan kriptovalyuta konchilari sifatida tasniflangan, ammo Godlua aslida DDoS bot bo’lib, haqiqiy dunyo hujumlarida allaqachon qo’llaniladi. Tadqiqotchilar shu paytgacha o‘xshash arxitekturaga ega ikkita zararli dastur namunasini aniqladilar. Ikkala versiya ham ko’rsatmalar uchun Godlua ulanadigan C&C serverining URL manzilini o’z ichiga olgan ochiq matnli DNS yozuvlari uchun DoH so’rovlaridan foydalanadi.
Oddiy matnli DNS yozuvidan C&C server URL-manzilini olish texnikasi yangilik emas. Yangi narsa standart DNS so’rovlari o’rniga DoH so’rovlaridan foydalanishdir. Protokol nomidan ko’rinib turibdiki, HTTPS orqali DNS HTTPS orqali DNS so’rovlarini yuboradi. DoH so’rovlari shifrlangan va uchinchi tomon kuzatuvchilari uchun ko’rinmas, shu jumladan ma’lum zararli domenlarga so’rovlarni blokirovka qilish uchun passiv DNS monitoringidan foydalanadigan xavfsizlik echimlari.
Mutaxassislar boshqa zararli dasturlarning operatorlari tez orada ushbu usulni qo’llashi va axborot xavfsizligi bo’yicha ko’plab yechimlarni yaroqsiz holga keltirishidan xavotirda.
