DNS over HTTPS傳也遭受到惡意軟件的破壞

新興的DNS over HTTPS（DoH）協議，以強化用戶的隱私保護的承諾，而頗受衆人期待，不過安全研究人員發現已經有黑客撰寫出使用DoH技術的惡意軟件。安全廠商Netlab今年稍早發現一隻可疑的ELF檔案，被部份防病毒軟件斷定爲挖礦程序，不過仔細分析，倒是一款後門程序。這個程序由於其Lua bytecode檔案幻數（magic number）爲「God」，於是被研究人員命名爲Godlua。Godlua利用Confluence軟件漏洞CVE-2019-3396感染Linux服務器。它會利用這些受害服務器發動分佈式阻斷服務（DDoS）攻擊。研究人員發現攻擊者對中國一個「www.liuxiaobei.top」的網站，發動分佈式HTTP 洪水攻擊（HTTP Flood attack）。

目前安全公司發現二個Godlua 的樣本，不過功能相似。感染受害服務器後，Godlua會和C&C服務器創建聯機。這隻後門程序特點包括會創建備援聯機，黑客會將第二或第三臺C2C服務器域名儲存在Pastebin.com、GitHub.com上的DNS TXT檔案中。此外，它還會以HTTPS聯機下載Lua bytecode檔案，併發出DoH呼叫取得檔案，確保攻擊代理程序、受害服務器及C&C服務器維持穩固聯機以及黑客將來下達指令，後者則是至關新穎的做法，由於它已經能夠使用DoH而非傳統DNS呼叫。相關信息：仲博流浪收容所 http://hungtu.com.tw/

DoH於已加密的HTTPS協議進行DNS解析請求，旨在避免原始DNS協議中，用戶的DNS解析請求被竊聽或者修改的問題（例如中間人攻擊），達到保護用戶隱私的目的。而這個首度利用DoH技術的惡意軟件新聞，也讓部分安全專家感到擔心，認爲將來勢必有更多惡意軟件做者跟進，形成安全控管的威脅。不過ZDNet認爲安全業界必定也會找出因應之道。DoH目前由標準組織IETF支持，發佈RFC 8484 規範文件。2018年9月發佈的Firefox 62正式版加入這項功能。Google也在6月底宣佈其公共DNS服務正式支持DoH。