初次发明恶意软件滥用新DoH (HTTPS DNS)协议
|
中国收集安详巨头奇虎360的收集威胁搜刮部分NetLab的安详研究职员发明白有史以来第一种通过HTTPS(DoH)协议滥用DNS的恶意软件。
该公司的研究职员在周一宣布的一份陈诉中具体先容了这种名为Godlua的恶意软件。 按照NetLab团队的说法,Godlua是用Lua编写的一种恶意软件,在受传染的体系上就像后门一样。它是在Linux处事器上编写的,进攻者正在行使聚合裂痕(CVE-2019-3396)来传染过期的体系,而在VirusTotal上上传的早期示例错误地将其标志为一个加密钱币发掘器。 但NetLab的研究职员暗示,该恶意软件现实上是一种DDoS呆板人,他们已经看到它被用于进攻,个中一款针对刘晓备粉丝网站的主页--刘晓备网(liuxiaobei.com)。 研究职员说,到今朝为止,他们已经发明白两个哥德鲁版本,其架构有点相似。这两个版本都通过HTTPS哀求行使DNS检索域名的TXT(文本记录),个中存储后续呼吁和节制(C&C)处事器的URL,而且Godlua恶意软件应该毗连到该URL以得到进一步的声名。 这种从DNS文本记录中检索第二/第三阶段C&C处事器的URL地点的技能并不奇怪。这里的新特征是行使DoH哀求而不是传统的DNS哀求。 作为协议的名称清晰地声名,通过通过加密HTTPS毗连发送DNS哀求而不是行使经典的明文UDP哀求,在HTTPS上的DNS事变。 DoH(DNS)哀求是加密的,对第三方调查者来说是不行见的,包罗依靠被动DNS监督来阻止对已知恶意域的哀求的收集安详软件。 戈德鲁操作DoH潜匿dns流量的发明本周在收集安详社区激发了攻击波,很多人在twitter[1,2]和Reddit上都做出了回响。 扰流器:会有更多的。许多,更多。Doh要冲破许多安详节制。https://T.CO/EO8QQP3MD DNS哀求不是独一的IOC,但它们是靠在很洪流平上。 很多人暗示担忧其他恶意软件菌株此刻也会回收此成果,从而提供大量依靠被动DNS监控的收集安详产物。 他们的惊骇是有原理的;然而,收集安详社区老是能找到办理恶意软件行使的任何能力的要领,并且他们也会找到一个办理任何行使DoH的裂痕的要领。 有关DoH协议的更多信息,请拜见Internet工程事变组(IETF)文件RFC8484。 火狐和Chrome等主流赏识器已经支持DoH。上个月,谷歌公布对其民众DNS处事提供DoH支持,该公司为那些当局基于被动DNS监控过滤和阻塞互联网流量的国度的用户提供免费处事。 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
