首次发现恶意软件滥用新DoH (HTTPS DNS)协议

创投2020-08-07 22:15:50
导读中国网络安全巨头奇虎360的网络威胁搜索部门NetLab的安全研究人员发现了有史以来第一种通过HTTPS(DoH)协议滥用DNS的恶意软件。该公司的研

中国网络安全巨头奇虎360的网络威胁搜索部门NetLab的安全研究人员发现了有史以来第一种通过HTTPS(DoH)协议滥用DNS的恶意软件。

该公司的研究人员在周一发布的一份报告中详细介绍了这种名为Godlua的恶意软件。

根据NetLab团队的说法,Godlua是用Lua编写的一种恶意软件,在受感染的系统上就像后门一样。它是在Linux服务器上编写的,攻击者正在使用聚合漏洞(CVE-2019-3396)来感染过时的系统,而在VirusTotal上上传的早期示例错误地将其标记为一个加密货币挖掘器。

但NetLab的研究人员表示,该恶意软件实际上是一种DDoS机器人,他们已经看到它被用于攻击,其中一款针对刘晓备粉丝网站的主页--刘晓备网(liuxiaobei.com)。

研究人员说,到目前为止,他们已经发现了两个哥德鲁版本,其架构有点相似。这两个版本都通过HTTPS请求使用DNS检索域名的TXT(文本记录),其中存储后续命令和控制(C&C)服务器的URL,并且Godlua恶意软件应该连接到该URL以获得进一步的说明。

这种从DNS文本记录中检索第二/第三阶段C&C服务器的URL地址的技术并不新鲜。这里的新特性是使用DoH请求而不是传统的DNS请求。

作为协议的名称清楚地说明,通过通过加密HTTPS连接发送DNS请求而不是使用经典的明文UDP请求,在HTTPS上的DNS工作。

DoH(DNS)请求是加密的,对第三方观察者来说是不可见的,包括依赖被动DNS监视来阻止对已知恶意域的请求的网络安全软件。

戈德鲁利用DoH隐藏dns流量的发现本周在网络安全社区引发了冲击波,许多人在twitter[1,2]和Reddit上都做出了反应。

扰流器:会有更多的。很多,更多。Doh要打破很多安全控制。https://T.CO/EO8QQP3MD

DNS请求不是唯一的IOC,但它们是靠在很大程度上。

许多人表示担心其他恶意软件菌株现在也会采用此功能,从而提供大量依赖被动DNS监控的网络安全产品。

他们的恐惧是有道理的;然而,网络安全社区总是能找到解决恶意软件使用的任何技巧的方法,而且他们也会找到一个解决任何使用DoH的漏洞的方法。

有关DoH协议的更多信息,请参见Internet工程工作组(IETF)文件RFC8484。

火狐和Chrome等主流浏览器已经支持DoH。上个月,谷歌宣布对其公共DNS服务提供DoH支持,该公司为那些政府基于被动DNS监控过滤和阻塞互联网流量的国家的用户提供免费服务。

免责声明:本文由用户上传,如有侵权请联系删除!