Posté le juillet 4, 2019 à 19:39
LES EXPERTS EN SÉCURITÉ S’INQUIÈTENT : DE NOUVEAUX LOGICIELS MALVEILLANTS UTILISENT LE DNS-OVER-HTTPS
L’évolution des logiciels malveillants se poursuit et avec elle – le «jeu» sans fin entre experts en sécurité et hackers. Cependant, les pirates semblent toujours avoir une longueur d’avance, comme le confirment les récentes découvertes.
La nouvelle découverte qui inquiète les experts du monde entier s’articule autour de la nouvelle souche de logiciel malveillant capable d’utiliser le protocole DNS-over-HTTPS. La découverte a été faite par le Network Security Research Lab at 360 plus tôt cette année, en avril. Les experts ont trouvé à cette occasion une porte dérobée après avoir recherché un fichier ELF (Executable and Linkable Format) plutôt suspect.
Ce n’était pas la première fois que le fichier était repéré dans la nature, et la plupart des autres sociétés de sécurité l’ont classé comme un cheval de Troie de minage de crypto-monnaie. Pourtant. Les chercheurs de Netlab 360 ont pensé qu’il pourrait y avoir autre chose. Quoi qu’il en soit, ils voulaient confirmer s’il s’agissait ou non d’une menace, et après l’avoir étudiée en profondeur, et résultat, ils ont fait toute une découverte.
Deux types de logiciels malveillants repérés dans la nature
Comme mentionné, les chercheurs ont constaté que le fichier ELF en question est en fait un logiciel malveillant capable d’exécuter des fonctionnalités DDoS. Depuis lors, il est connu sous le nom de Godlua. Le nom vient du nombre magique ‘God’, qui a été trouvé dans son code source, ainsi que de la base de code Lua et du fait qu’il fonctionne comme une porte dérobée sur des systèmes qu’il parvient à infecter.
Sachant ce qu’ils devaient rechercher, les chercheurs ont commencé à creuser davantage, ce qui a finalement mené à la découverte de deux versions distinctes de la porte dérobée qui étaient déjà sur les rails. En parcourant les serveurs de téléchargement de Godlua, ils ont pu obtenir la première version. Toutefois, après des recherches approfondies, les experts ont déterminé qu’il n’existait aucune mise à jour disponible pour cette version particulière.
Pendant ce temps, la deuxième version était très active et recevait régulièrement des mises à jour. En outre, les chercheurs ont également pu déterminer que la menace infectait principalement les systèmes Linux. Bien qu’ils n’aient pas été en mesure de comprendre la méthode utilisée pour infecter le système au moment de la découverte, ils savaient que la menace exploitait la faille CVE-2019-3396.
Comme nous l’avons mentionné, beaucoup croyaient que la menace est la bot de minage de crypto-monnaie, et même si les chercheurs savent maintenant mieux – il n’y a toujours pas de confirmation que le logiciel malveillant n’est pas entrain d’exploiter quelque choses d’autres. La seule vraie confirmation pour le moment est qu’il se comporte surtout comme un bot DDoS. En outre, les deux versions du programme malveillant utilisent DNS-over-HTTPS, au lieu des requêtes DNS classiques. Il s’agit d’un problème de taille, car l’utilisation de DNS-over-HTTPS permet au logiciel malveillant de cacher son trafic DNS à l’aide de la connexion cryptée HTTPS.
En d’autres termes, grâce à cette amélioration, Godlua peut échapper à la surveillance DNS passive. La découverte de ce phénomène a été plus que suffisante pour susciter l’inquiétude des experts du monde entier.
Comment la menace est-elle gérée ?
Bien entendu, Godlua est loin d’être le premier à intégrer le langage de programmation Lua au cours des dernières années. Des informations faisant état d’autres menaces en ce sens existent depuis un certain temps, comme celle de 2014, lorsque Dr. Web avait détecté Mac.BackDoor.iWorm. Puis, en 2016, Symantec a utilisé l’utilisation partagée des modules Lua pour établir un lien entre les activités d’un groupe de cyberespionage, Strider, au groupe Flamer.
Maintenant, beaucoup ont déjà reconnu la nouvelle menace, y compris Mozilla et même Google. Les deux entreprises ont pris en charge le protocole DoH. Mozilla l’a toujours testé, tandis que Google l’offrait déjà dans le cadre de son service DNS public. Pendant ce temps, d’autres réseaux de diffusion de contenu populaires offrent également une résolution DNS-over-HTTPS, y compris Cloudflare.
En ce qui concerne les moyens de se défendre contre la porte dérobée Godlua, les experts suggèrent d’investir dans des solutions de gestion des vulnérabilités en utilisant SIEM (Security Information and Event Manager), ainsi que dans d’autres outils de sécurité. L’important est d’installer des correctifs pour les vulnérabilités connues, et en particulier pour CVE-2019-3396. Enfin, les experts suggèrent également que les entreprises commencent à utiliser des nouvelle génération de pare-feu, une détection avancée des anomalies, etc.
