L\u2019\u00e9volution\ndes logiciels malveillants se poursuit et avec elle – le \u00abjeu\u00bb sans fin entre\nexperts en s\u00e9curit\u00e9 et hackers. Cependant, les pirates semblent toujours avoir\nune longueur d’avance, comme le confirment les r\u00e9centes d\u00e9couvertes.<\/p>\n\n\n\n
La\nnouvelle d\u00e9couverte qui inqui\u00e8te les experts du monde entier s’articule autour\nde la nouvelle souche de logiciel malveillant capable d’utiliser le protocole\nDNS-over-HTTPS. La d\u00e9couverte a \u00e9t\u00e9 faite par le Network Security Research Lab\nat 360 plus t\u00f4t cette ann\u00e9e, en avril. Les experts ont\ntrouv\u00e9 \u00e0 cette occasion une porte d\u00e9rob\u00e9e<\/strong><\/a> apr\u00e8s avoir recherch\u00e9 un\nfichier ELF (Executable and Linkable Format) plut\u00f4t suspect.<\/p>\n\n\n\n Ce\nn’\u00e9tait pas la premi\u00e8re fois que le fichier \u00e9tait rep\u00e9r\u00e9 dans la nature, et la\nplupart des autres soci\u00e9t\u00e9s de s\u00e9curit\u00e9 l’ont class\u00e9 comme un cheval de Troie\nde minage de crypto-monnaie. Pourtant. Les chercheurs de Netlab 360 ont pens\u00e9\nqu’il pourrait y avoir autre chose. Quoi\nqu’il en soit, ils voulaient confirmer s’il s’agissait ou non d’une menace, et\napr\u00e8s l’avoir \u00e9tudi\u00e9e en profondeur, et r\u00e9sultat, ils ont fait toute une\nd\u00e9couverte.<\/p>\n\n\n\n Deux\ntypes de logiciels malveillants rep\u00e9r\u00e9s dans la nature<\/strong><\/p>\n\n\n\n Comme\nmentionn\u00e9, les chercheurs ont constat\u00e9 que le fichier ELF en question est en\nfait un logiciel malveillant capable d’ex\u00e9cuter des fonctionnalit\u00e9s DDoS.\nDepuis lors, il est connu sous le nom de Godlua. Le nom vient du nombre magique\n‘God’, qui a \u00e9t\u00e9 trouv\u00e9 dans son code source, ainsi que de la base de code Lua\net du fait qu’il fonctionne comme une porte d\u00e9rob\u00e9e sur des syst\u00e8mes qu’il\nparvient \u00e0 infecter.<\/p>\n\n\n\n Sachant\nce qu’ils devaient rechercher, les chercheurs ont commenc\u00e9 \u00e0 creuser davantage,\nce qui a finalement men\u00e9 \u00e0 la d\u00e9couverte de deux versions distinctes de la\nporte d\u00e9rob\u00e9e qui \u00e9taient d\u00e9j\u00e0 sur les rails. \nEn parcourant les serveurs de t\u00e9l\u00e9chargement de Godlua, ils ont pu\nobtenir la premi\u00e8re version. Toutefois, apr\u00e8s des recherches approfondies, les\nexperts ont d\u00e9termin\u00e9 qu\u2019il n\u2019existait aucune mise \u00e0 jour disponible pour cette\nversion particuli\u00e8re.<\/p>\n\n\n\n Pendant\nce temps, la deuxi\u00e8me version \u00e9tait tr\u00e8s active et recevait r\u00e9guli\u00e8rement des\nmises \u00e0 jour. En outre, les chercheurs ont \u00e9galement pu d\u00e9terminer que la\nmenace infectait principalement les syst\u00e8mes Linux. Bien qu’ils n’aient pas \u00e9t\u00e9\nen mesure de comprendre la m\u00e9thode utilis\u00e9e pour infecter le syst\u00e8me au moment\nde la d\u00e9couverte, ils savaient que la menace exploitait la faille\nCVE-2019-3396.<\/p>\n\n\n\n Comme\nnous l’avons mentionn\u00e9, beaucoup croyaient que la menace est la bot de minage\nde crypto-monnaie, et m\u00eame si les chercheurs savent maintenant mieux – il n’y a\ntoujours pas de confirmation que le logiciel malveillant n’est pas entrain\nd’exploiter quelque choses d’autres. La\nseule vraie confirmation pour le moment est qu’il se comporte surtout comme un\nbot DDoS. En outre, les deux versions du programme malveillant utilisent\nDNS-over-HTTPS, au lieu des requ\u00eates DNS classiques. Il s\u2019agit d\u2019un probl\u00e8me de\ntaille, car l\u2019utilisation de DNS-over-HTTPS permet au logiciel malveillant de\ncacher son trafic DNS \u00e0 l\u2019aide de la connexion crypt\u00e9e HTTPS.<\/p>\n\n\n\n En\nd’autres termes, gr\u00e2ce \u00e0 cette am\u00e9lioration, Godlua peut \u00e9chapper \u00e0 la\nsurveillance DNS passive. La d\u00e9couverte de ce ph\u00e9nom\u00e8ne a \u00e9t\u00e9 plus que\nsuffisante pour susciter l’inqui\u00e9tude des experts du monde entier.<\/p>\n\n\n\n Comment la menace est-elle g\u00e9r\u00e9e ?<\/strong><\/p>\n\n\n\n Bien\nentendu, Godlua est loin d\u2019\u00eatre le premier \u00e0 int\u00e9grer le langage de\nprogrammation Lua au cours des derni\u00e8res ann\u00e9es. Des informations faisant \u00e9tat\nd’autres menaces en ce sens existent depuis un certain temps, comme celle de\n2014, lorsque Dr. Web avait d\u00e9tect\u00e9 Mac.BackDoor.iWorm<\/a><\/strong>.\nPuis, en 2016, Symantec a utilis\u00e9 l\u2019utilisation partag\u00e9e des modules Lua pour \u00e9tablir\nun lien entre les activit\u00e9s<\/a><\/strong> d\u2019un groupe de cyberespionage,\nStrider, au groupe Flamer.<\/p>\n\n\n\n Maintenant,\nbeaucoup ont d\u00e9j\u00e0 reconnu la nouvelle menace, y compris Mozilla et m\u00eame Google.\nLes deux entreprises ont pris en charge le protocole DoH. Mozilla l\u2019a\ntoujours test\u00e9<\/a><\/strong>, tandis que Google l\u2019offrait\nd\u00e9j\u00e0<\/a><\/strong> dans le cadre de son service DNS public. Pendant ce temps,\nd’autres r\u00e9seaux de diffusion de contenu populaires offrent \u00e9galement une\nr\u00e9solution DNS-over-HTTPS, y compris Cloudflare.<\/p>\n\n\n\n