Ein DDoS-Schadcode namens Godlua verbirgt seine Kommunikation mit dem Kommando-Sever durch das neue DNS-over-HTTPS (DoH) Protokoll. DoH ist schwer zu blockieren, da derselbe Port, 443, wie regulärer HTTPS-Traffic verwendet wird. Dadurch wird die Kommunikation von vielen Firewalls nicht entdeckt.
Entdeckt wurde die Backdoor von der chinesischen Sicherheitsfirma Qihoo / 360 Netlab. Laut deren Angaben verwendet die Malware die Remote-Code-Execution-Lücke in Atlassians Confluence (CVE-2019-3396), um den DDoS-Bot zu installieren.
Godlua ist in der Programmiersprache Lua geschrieben, die vor allem bei der Embedded-Entwicklung und als Skriptsprache bei der Entwicklung von Videospielen verwendet wird. Der Code hat zudem eine magische Zahl God.
Godlua verwendent redundante Kommunikationswege, eine Kombination aus festen DNS Namen, Pastebin.com, GitHub.com und DNS TXT. HTTPS wird eingesetzt, um Dateien nachzuladen; über DoH wird der C2 Name geholt, um die Kommunikation zwischen Bot, Webserver und C2 abzusichern.
Der Hardcoded C2 (d.heheda.tk bzw. img0.cloudappconfig.com) ist der Master. Als Backup wird der C2 auf Github (https://api.github.com/repos/helegedada/heihei) verwendet. In der zweiten Version der Backdoor sind die URLs zudem auf Github und Pastebin (https://pastebin.com/raw/vSDzq3Md) gespeichert. Nachdem die URl geholt und entschlüsselt wurde, wird start.png heruntergeladen, was der Lua bytecode ist. Der Bot wird in den Speicher geschrieben und führt die Stage-2 URL aus. Hier gibt es wieder zwei Versionen: Github und DoH. Nachdem die URL entschlüsselt wurde, wird ein run.png herunterladen, was wiederum Lua Bytecode ist. Dieser führt die Stage-3 URL aus, die im Lua Code fest steht (c.heheda.tk bzw. c.cloudappconfig.com).
Bisher gibt es zwei Versionen der Backdoor. Die Version 201811051556 ist auf Linux spezialisiert und wird nicht weiter aktualisiert. 20190415103713 ~ 2019062117473 ist aktiv, wird verbessert und kann neben Linux auch auf Windows laufen.
Weitere Informationen: https://blog.netlab.360.com/an-analysis-of-godlua-backdoor-en/