DNS over HTTPS传也遭受到恶意软件的破坏

原文链接: https://my.oschina.net/u/4024424/blog/3069612

新兴的DNS over HTTPS(DoH)协议,以强化用户的隐私保护的承诺,而颇受众人期待,不过安全研究人员发现已经有黑客撰写出使用DoH技术的恶意软件。安全厂商Netlab今年稍早发现一只可疑的ELF档案,被部份防病毒软件判定为挖矿程序,不过仔细分析,却是一款后门程序。这个程序因为其Lua bytecode档案幻数(magic number)为「God」,因而被研究人员命名为Godlua。Godlua利用Confluence软件漏洞CVE-2019-3396感染Linux服务器。它会利用这些受害服务器发动分布式阻断服务(DDoS)攻击。研究人员发现攻击者对中国一个「www.liuxiaobei.top」的网站,发动分布式HTTP 洪水攻击(HTTP Flood attack)。

DNS over HTTPS传也遭受到恶意软件的破坏_第1张图片

目前安全公司发现二个Godlua 的样本,不过功能类似。感染受害服务器后,Godlua会和C&C服务器建立联机。这只后门程序特色包括会建立备援联机,黑客会将第二或第三台C2C服务器域名储存在Pastebin.com、GitHub.com上的DNS TXT档案中。此外,它还会以HTTPS联机下载Lua bytecode档案,并发出DoH呼叫取得档案,确保攻击代理程序、受害服务器及C&C服务器维持稳固联机以及黑客未来下达指令,后者则是相当新颖的作法,因为它已经可以使用DoH而非传统DNS呼叫。相关信息:仲博流浪收容所 http://hungtu.com.tw/

DoH于已加密的HTTPS协议进行DNS解析请求,旨在避免原始DNS协议中,用户的DNS解析请求被窃听或者修改的问题(例如中间人攻击),达到保护用户隐私的目的。而这个首度利用DoH技术的恶意软件新闻,也让部分安全专家感到担忧,认为未来势必有更多恶意软件作者跟进,造成安全控管的威胁。不过ZDNet认为安全业界一定也会找出因应之道。DoH目前由标准组织IETF支持,发布RFC 8484 规范文件。2018年9月发布的Firefox 62正式版加入这项功能。Google也在6月底宣布其公共DNS服务正式支持DoH。

转载于:https://my.oschina.net/u/4024424/blog/3069612

你可能感兴趣的:(DNS over HTTPS传也遭受到恶意软件的破坏)