Godlua: Hacker verstecken Malware-Traffic im DNS-over-HTTPS-Protokoll
Ein DDoS-Bot für Linux-Server verbirgt seine Kommando-Kommunikation mit dem relativ neuen Verschlüsselungs-Protokoll DoH.
(Bild: Shutterstock.com / Gorodenkoff)
- Fabian A. Scherschel
Nicht nur rechtschaffene Nutzer halten es für eine gute Idee, ihre DNS-Anfragen mit DNS over HTTPS (DoH) vor neugierigen Blicken zu verbergen, auch Malware-Schreiber sind mittlerweile auf diese Idee gekommen. Ein DDoS-Schadcode namens Godlua benutzt dieses noch recht neue Verschlüsselungs-Protokoll dazu, seine Anfragen an den zugehörigen Kommando-Server zu verbergen. Dabei machen sich die Hacker zu Nutze, dass DoH schwer zu blockieren ist, da es denselben Port wie regulärer HTTPS-Traffic benutzt. Auf diese Weise entgeht die Malware-Kommunikation momentan wohl auch der Entdeckung vieler Firewall-Systeme.
Wie der Name der Malware nahelegt, ist Godlua in der Programmiersprache Lua verfasst, die sonst eher in der Embedded-Entwicklung oder als Skriptsprache in der Videospiele-Entwicklung Verwendung findet. Die Schadcode-Entwickler schätzen wohl ähnlich wie ihre Videospiele-Kollegen die Flexibilität der Programmiersprache, die schnelle Änderungen am Code möglich macht. Allerdings nutzen die Hacker die Sprache in diesem Fall dafür, einen Bot zu programmieren, der auf Linux-Servern läuft und von dort aus versucht, andere Webseiten per DDoS-Angriff zu blockieren.
Confluence-Lücke als Einfallstor
Entdeckt wurde der Schadcode von der chinesischen Sicherheitsfirma Qihoo / 360 Netlab. Nach den Erkenntnissen der Sicherheitsforscher missbrauchen Angreifer eine bekannte Remote-Code-Execution-Sicherheitslücke in Atlassians Projekt-Management-Software Confluence (CVE-2019-3396), um den DDoS-Bot zu installieren. Momentan scheinen die kompromittierten Server vor allem für Angriffe auf chinesische Seiten missbraucht zu werden.
Aber auch bei Sicherheitsforschern im Rest der Welt hat der Schadcode für Aufsehen gesorgt. Das liegt wohl weniger an den DDoS-Angriffen – ein alltägliches Vorkommnis für die meisten Beobachter aus der Security-Szene – sondern daran, dass der Schadcode das DoH-Protokoll verwendet. Einige Experten äußerten auf Twitter die Befürchtung, dass DNS over HTTPS als Kommunikationskanal auch bei anderen Malware-Schreibern Schule machen könnte. Die meisten Anbieter von entsprechender Schutzsoftware seien darauf aber nicht vorbereitet. Das DoH-Protokoll, so befürchten Beobachter, könnte also gut dazu geeignet sein, der Entdeckung durch Sicherheits-Software zu entgehen. Jedenfalls zurzeit.
DNS-Anfragen an bekannte bösartige Domains seien ein viel beachteter Indicator of Compromise (IOC) – also ein Anhaltspunkt, mit dessen Hilfe Analysten und Software-Systeme entscheiden, ob Systeme in einem bestimmten Netzwerk von Malware befallen sind. Können die Beobachter diese Anfragen nicht mehr einsehen (zum Beispiel, weil sie über DoH abgewickelt werden), so blieben mehr Angriffe länger unentdeckt – so jedenfalls lautet die Befürchtung einiger namhafter Sicherheitsforscher. Im Endeffekt beobachten wir allerdings nur ein Merkmal des Katz-und-Maus-Spiels zwischen Kriminellen und Sicherheits-Experten: Die eine Seite erfindet neue Wege, ihre Angriffe zu verstecken, die dann früher oder später von der anderen Seite aufgedeckt und schließlich verhindert werden.
Update 05.07.19, 13:25: Mittlerweile hat Programmierer Daniel Stenberg bei Twitter darauf hingewiesen, dass Godlua seinen Analysen zufolge ein eigenes Protokoll verwende. Das habe zwar Ähnlichkeiten mit dem standardisierten DoH-Protokoll, sei jedoch nicht mit diesem identisch. (fab)
