top of page

Há um malware designado por Godlua e que abusa do DNS em HTTPS


A particularidade deste malware é precisamente a capacidade de se comunicar via DNS em HTTPS, que foi um protocolo sugerido em outubro de 2018 e suportado por vários servidores públicos de DNS.

O objetivo deste protocolo é aumentar a privacidade dos utilizadores e segurança através da prevenção tanto do eavesdropping (ataque de engenharia social em que um atacante consegue observar o que a vítima escreve) como da manipulação dos dados de DNS, e este malware serve-se destas funcionalidades para conseguir esconder as comunicações com os servidores de comando e controlo (C&C), sendo o primeiro a servir-se deste protocolo para proteger a sua infraestrutura.

A nível mais técnico

Há um mecanismo de comunicação redundante resultado da combinação entre o dns hardcoded, o pastebin e o github assim como o DNS TXT, usados para armazenar o endereço do servidor C&C; ao mesmo tempo o HTTPS é usado para fazer download de ficheiros de código em Lua e o DNS no HTTPS para haver segurança na comunicação entre os bots, o servidor Web e o servidor C&C.

Fonte: https://www.bleepingcomputer.com/news/security/new-godlua-malware-evades-traffic-monitoring-via-dns-over-https/

POSTS RECENTES:
PROCURE POR TAGS:
bottom of page