DNS over HTTPS传也遭受到恶意软件的破坏

原文链接： https://my.oschina.net/u/4024424/blog/3069612

新兴的DNS over HTTPS（DoH）协议，以强化用户的隐私保护的承诺，而颇受众人期待，不过安全研究人员发现已经有黑客撰写出使用DoH技术的恶意软件。安全厂商Netlab今年稍早发现一只可疑的ELF档案，被部份防病毒软件判定为挖矿程序，不过仔细分析，却是一款后门程序。这个程序因为其Lua bytecode档案幻数（magic number）为「God」，因而被研究人员命名为Godlua。Godlua利用Confluence软件漏洞CVE-2019-3396感染Linux服务器。它会利用这些受害服务器发动分布式阻断服务（DDoS）攻击。研究人员发现攻击者对中国一个「www.liuxiaobei.top」的网站，发动分布式HTTP 洪水攻击（HTTP Flood attack）。

目前安全公司发现二个Godlua 的样本，不过功能类似。感染受害服务器后，Godlua会和C&C服务器建立联机。这只后门程序特色包括会建立备援联机，黑客会将第二或第三台C2C服务器域名储存在Pastebin.com、GitHub.com上的DNS TXT档案中。此外，它还会以HTTPS联机下载Lua bytecode档案，并发出DoH呼叫取得档案，确保攻击代理程序、受害服务器及C&C服务器维持稳固联机以及黑客未来下达指令，后者则是相当新颖的作法，因为它已经可以使用DoH而非传统DNS呼叫。相关信息：仲博流浪收容所 http://hungtu.com.tw/

DoH于已加密的HTTPS协议进行DNS解析请求，旨在避免原始DNS协议中，用户的DNS解析请求被窃听或者修改的问题（例如中间人攻击），达到保护用户隐私的目的。而这个首度利用DoH技术的恶意软件新闻，也让部分安全专家感到担忧，认为未来势必有更多恶意软件作者跟进，造成安全控管的威胁。不过ZDNet认为安全业界一定也会找出因应之道。DoH目前由标准组织IETF支持，发布RFC 8484 规范文件。2018年9月发布的Firefox 62正式版加入这项功能。Google也在6月底宣布其公共DNS服务正式支持DoH。

转载于:https://my.oschina.net/u/4024424/blog/3069612