새로운 Godlua 악성코드, DNS-over-HTTPS 통해 트래픽 모니터링 회피

New Godlua Malware Evades Traffic Monitoring via DNS over HTTPS

Qihoo 360의 연구원들이 리눅스, 윈도우 사용자를 노리며 DoH(DNS-over-HTTPS)를 통해 통신 채널을 암호화하는 Lua 기반 백도어 악성코드를 발견했습니다.

Godlua로 명명된 이 악성코드는 DoH를 사용하여 C&C 서버, 감염된 기기, 공격자가 제어하는 서버 사이의 통신 채널을 HTTPS 요청 내 캡슐화함으로써 연구원들이 트래픽을 분석하는 것을 막습니다.

Godlua의 메인 기능은 DDoS 봇으로 보이며, 운영자는 이미 이를 이용하여 liuxiaobei[.]com에 대해 HTTP 플러드 공격을 실행한 것으로 나타났습니다.

지금까지 발견된 Godlua 백도어의 샘플은 2개입니다. 발견된 샘플 중 하나는 리눅스 박스(version 201811051556)만 노렸습니다. 

그리고 다른 하나는 많은 명령어 내장하고 다양한 CPU 아키텍처를 지원 가능하며, 윈도우 컴퓨터를 감염시킬 수 있었습니다.(version 20190415103713~2019062117473)

 

[그림 1] Godlua 버전

<이미지 출처: https://blog.netlab.360.com/an-analysis-of-godlua-backdoor-en/>

Godlua 버전 201811051556은 이제 더 이상 업데이트되지 않으나, 두 번째 샘플은 활발히 업데이트되고 있는 것으로 나타났습니다.

리눅스 플랫폼만을 노리는 버전은 C&C 서버로부터 오직 2개의 명령만을 받을 수 있었습니다. 

공격자는 이를 통해 커스텀 파일을 실행하고 리눅스 명령어를 실행할 수 있었습니다.

두 번째 변종은 C2 명령어 5개를 지원했으며, 실행 시 많은 Lua 스크립트를 다운로드했습니다. 

이 스크립트는 실행, 보조, 공격 총 3가지 카테고리로 분류할 수 있습니다.

 

<이미지 출처: https://blog.netlab.360.com/an-analysis-of-godlua-backdoor-en/>

많은 리눅스 기기들이 Confluence 익스플로잇(CVE-2019-3396)을 통해 Godlua 백도어에 감염되었지만, 연구원들은 추가 감염 벡터를 더 찾고 있는 중입니다.

C2 트래픽 보호를 위해 DoH(DNS-over-HTTPS) 사용

DoH 프로토콜은 2018년 10월 제안된 표준이며 DNS 서버 및 구글 크롬, 모질라 파이어폭스 등의 다양한 웹브라우저를 지원합니다.

DoH는 HTTPS 통신 채널로 포장되어 클라이언트와 DNS 서버 사이의 도청 및 DNS 데이터 조작을 효과적으로 차단하고 DNS 쿼리의 개인 정보 보호를 강화합니다.

[그림 2] DoH 요청

<이미지 출처: https://blog.netlab.360.com/an-analysis-of-godlua-backdoor-en/>

Godlua 악성코드는 DoH 프로토콜을 악용하여 감염 프로세스 후기에 사용되는 C2 서버의 URL, 첫 단계에서 도메인의 DNS TXT 레코드에서 수집하는 URL을 숨깁니다.

Godlua는 분석가 및 안티 바이러스 분석 툴로부터 C2 인프라의 일부를 숨기기 위해 DoH 프로토콜을 사용하는 첫 번째 악성코드입니다.

현재 알약에서는 해당 악성코드에 대해 'Trojan.Linux.Godlua'으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-godlua-malware-evades-traffic-monitoring-via-dns-over-https/

https://blog.netlab.360.com/an-analysis-of-godlua-backdoor-en/