Godlua
O Godlua é um malware backdoor que permite que invasores acessem um sistema, rede ou servidor seguros. O Godlua é o malware introdutório que usa DNS sobre HTTPS (DoH) para se comunicar com seus servidores C2. O malware Godlua recebeu esse nome pelos pesquisadores que o descobriram, pois o arquivo de código de bytes Lua carregado possui um "número mágico" de "go d". O malware Godlua tem como alvo os sistemas baseados em Linux e Windows. Godlua foi detectado em dois tipos: um para Linux e outro para Windows. O estilo de ataque do malware Godlua pode ser caracterizado como um ataque DDoS (Distributed Denial of Service).
O malware Godlua é interessante e único, pois possui várias maneiras de se comunicar com os servidores C2. Ele usa nomes DNS codificados, DNS TXT e endereços armazenados em Pastebin.com e GitHub.com. Ele usa HTTPS para baixar arquivos Lua, depois usa o DoH para obter o nome C2 correto e estabelecer comunicação.
Atualmente, duas versões do Godlua foram detectadas:
- Versão 201811051556, que pode ser encontrada nos servidores de download do Godlua. Essa versão ataca as caixas do Linux e é escrita em C. Ele usa os seguintes comandos:
- cmd_call
- cmd_shel - Versão 20190415103713 ~ 2019062117473, atualmente ativa no estado selvagem e atualizada de tempos em tempos. Também é escrita em C e usa uma implementação de controle de Lua. Essa versão pode atacar máquinas Linux e Windows e usa os seguintes comandos:
- lua
- shell
- shell2
- proxy
- upgrade
Amostra 1 (versão 201811051556):
MD5: 870319967dba4bd02c7a7f8be8ece94f
ELF 32-bit LSB executável
Comunicação C2: Domínio codificado, Link do GitHub
Domínio C2: d.heheda.tk
Link do GitHub: https://api.github.com/repos/helegedada/heihei
Comandos C2: cmd_call, cmd_shell
Formato de pacote C2:
- Comprimento: Little Endian (2 bytes)
- Tipo: 1 byte
- Dados: (comprimento - 3) bytes
Amostra 2 (versão 20190415103713):
MD5: c9b712f6c347edde22836fb43b927633
ELF 64-bit LSB executable
Amostra 3 (versão 20190621174731):
MD5: 75902cf93397d2e2d1797cd115f8347a
ELF 64-bit LSB executable
Amostra 4 (versão 20190415103713 ~ 20190621174731):
Comunicação C2: Domínio codificado, Link GitHub, Link Pastebin, DNS TXT
Domínio C2: d.heheda.tk
Link do GitHub: https://api.github.com/repos/helegedada/heihei
Link do Pastebin: https://pastebin.com/raw/vSDzq3Md
Comandos C2: handshake, pulsação, lua, shell, atualização, sair, shell2, proxy
Formato de pacote C2:
- Comprimento: Big Endian (2 bytes)
- Tipo: 1 byte
- Dados: bytes de comprimento
Algoritmo de criptografia
AES, CBC Mode
key: 13 21 02 00 31 21 94 E2 F2 F1 35 61 93 4C 4D 6A
iv: 2B 7E 15 16 28 AE D2 01 AB F7 15 02 00 CF 4F 3C
IoC list:
870319967dba4bd02c7a7f8be8ece94f
c9b712f6c347edde22836fb43b927633
75902cf93397d2e2d1797cd115f8347a
Links:
https://helegedada.github.io/test/test
https://api.github.com/repos/helegedada/heihei
http://198.204.231.250/linux-x64
http://198.204.231.250/linux-x86
https://dd.heheda.tk/i.jpg
https://dd.heheda.tk/i.sh
https://dd.heheda.tk/x86_64-static-linux-uclibc.jpg
https://dd.heheda.tk/i686-static-linux-uclibc.jpg
https://dd.cloudappconfig.com/i.jpg
https://dd.cloudappconfig.com/i.sh
https://dd.cloudappconfig.com/x86_64-static-linux-uclibc.jpg
https://dd.cloudappconfig.com/arm-static-linux-uclibcgnueabi.jpg
https://dd.cloudappconfig.com/i686-static-linux-uclibc.jpg
http://d.cloudappconfig.com/i686-w64-mingw32/Satan.exe
http://d.cloudappconfig.com/x86_64-static-linux-uclibc/Satan
http://d.cloudappconfig.com/i686-static-linux-uclibc/Satan
http://d.cloudappconfig.com/arm-static-linux-uclibcgnueabi/Satan
https://d.cloudappconfig.com/mipsel-static-linux-uclibc/Satan
Domínios C2:
d.heheda.tk
dd.heheda.tk
c.heheda.tk
d.cloudappconfig.com
dd.cloudappconfig.com
c.cloudappconfig.com
f.cloudappconfig.com
t.cloudappconfig.com
v.cloudappconfig.com
img0.cloudappconfig.com
img1.cloudappconfig.com
img2.cloudappconfig.com
IPs:
198.204.231.250 United States ASN 33387 DataShack, LC
104.238.151.101 Japan ASN 20473 Choopa, LLC
43.224.225.220 Hong Kong ASN 22769 DDOSING NETWORK
