Նոր Linux Backdoor-ն օգտագործում է DNS-over-HTTPS tunneling-ը

Նոր Linux Backdoor-ն օգտագործում է DNS-over-HTTPS tunneling-ը

ChamelGang անվանումով հանդես եկող հաքերն օգտագործում է նախկինում չփաստաթղթավորված implant-ը Linux համակարգերերի backdoor-երի համար, ինչը նշանակում է, որ հաքերն ունի համակարգում իր դերի ընդլայնման մեծ հնարավորություններ:

Ծրագիրը, որը Stairwell-ի կողմից ստացել է ChamelDoH անվանումը, C++ based գործիք է՝ DNS-over-HTTPS (DoH) թունելավորման միջոցով հաղորդակցվելու համար:

ChamelGang-ն առաջին անգամ կիրառելի է դարձել ռուսական կիբերանվտանգության ոլորտի՝ Positive Technologies ընկերության կողմից, մանրամասնելով իրականացրած հարձակումները՝ Ռուսաստանում, ԱՄՆ-ում, Հնդկաստանում, Նեպալում, Թայվանում և Ճապոնիայում: Հարձակումնրեը հիմնականում թիրախավորել են՝ վառելիքի, էներգիայի և ավիացիոն արտադրության խոշորագույն ոլորտները:

«Սա native  IIS մոդուլ է, որը գրանցված է որպես զտիչ:  IIS մոդուլի միջոցով մշակվում են HTTP հարցումներն ու պատասխանները», – նշում է Positive Technologies-ը:

«Դրա աշխատանքի սկզբունքը անսովոր է. backdoor-ը մշակում է միայն այն հարցումները, որոնցում դրված են cookie-ների ճիշտ պարամետրը»:

Սթեյրվելի կողմից հայտնաբերված Linux-ի backdoor-ն իր հերթին նախագծված է համակարգի տեղեկատվությունը յուրացնելու համար և ունակ է remote access-ի կատարման, ինչպիսիք են՝ ֆայլերի վերբեռնումը, ներբեռնումը, ջնջումը և shell command-ի կատարումը:

Linux Backdoor

ChamelDoH-ին եզակի է դարձնում DoH-ի նորագույն հաղորդակցման մեթոդը, որը HTTPS protocol-ի միջոցով օգտագործում է Domain Name System (DNS) resolution-ը՝  DNS TXT հարցումները rogue nameserver-երին ուղարկելու համար:

DoH-ի օգտագործումը command-and-control (C2)- համար հաքերին մի շարք առավելություններ է տալիս:

Սա նաև նշանակում է, որ անվտանգության լուծումները չեն կարող լիովին արգելել DoH հարցումների կիրառումը և անջատել հաղորդակցությունը:

«Այս մարտավարության արդյունքը domain fronting-ի միջոցով հարցվում է C2-ին, որտեղ traffic-ն ուղարկվում է CDN-ում տեղակայված օրինական ծառայության միջոցով, սակայն վերահղվում է դեպի C2 սերվեր», – բացատրում է փորձագետ Մայերը:

 

Աղբյուրը՝ https://thehackernews.com/