背景介绍 2019年4月24号，360Netlab未知威胁检测系统发现一个可疑的ELF文件，目前有一部分杀软误识别为挖矿程序。通过详细分析，我们确定这是一款Lua-based Backdoor，因为这个样本加载的Lua字节码文件幻数为“God”，所以我们将它命名为Godlua Backdoor。 Godlua Backdoor会使用硬编码域名，Pastebin.com，GitHub.com和DNS TXT记录等方式，构建存储C2地址的冗余机制。同时，它使用HTTPS加密下载Lua字节码文件，使用DNS over HTTPS获取C2域名解析，保障Bot与Web Server和C2之间的安全通信。 我们观察到Godlua Backdoor实际上存在2个版本，并且有在持续更新。我们还观察到攻击者会通过Lua指令，动态运行Lua代码，并对一些网站发起HTTP Flood 攻击。 概览 目前，我们看到的Godlua Backdoor主要存在2个版本，201811051556版本是通过遍历Godlua下载服务器得到，我们没有看到它有更新。当前Godlua Backdoor活跃