DNS over HTTPS傳也遭受到惡意軟件的破壞

新興的DNS over HTTPS(DoH)協議,以強化用戶的隱私保護的承諾,而頗受衆人期待,不過安全研究人員發現已經有黑客撰寫出使用DoH技術的惡意軟件。安全廠商Netlab今年稍早發現一隻可疑的ELF檔案,被部份防病毒軟件斷定爲挖礦程序,不過仔細分析,倒是一款後門程序。這個程序由於其Lua bytecode檔案幻數(magic number)爲「God」,於是被研究人員命名爲Godlua。Godlua利用Confluence軟件漏洞CVE-2019-3396感染Linux服務器。它會利用這些受害服務器發動分佈式阻斷服務(DDoS)攻擊。研究人員發現攻擊者對中國一個「www.liuxiaobei.top」的網站,發動分佈式HTTP 洪水攻擊(HTTP Flood attack)。安全

目前安全公司發現二個Godlua 的樣本,不過功能相似。感染受害服務器後,Godlua會和C&C服務器創建聯機。這隻後門程序特點包括會創建備援聯機,黑客會將第二或第三臺C2C服務器域名儲存在Pastebin.com、GitHub.com上的DNS TXT檔案中。此外,它還會以HTTPS聯機下載Lua bytecode檔案,併發出DoH呼叫取得檔案,確保攻擊代理程序、受害服務器及C&C服務器維持穩固聯機以及黑客將來下達指令,後者則是至關新穎的做法,由於它已經能夠使用DoH而非傳統DNS呼叫。相關信息:仲博流浪收容所 http://hungtu.com.tw/服務器

DoH於已加密的HTTPS協議進行DNS解析請求,旨在避免原始DNS協議中,用戶的DNS解析請求被竊聽或者修改的問題(例如中間人攻擊),達到保護用戶隱私的目的。而這個首度利用DoH技術的惡意軟件新聞,也讓部分安全專家感到擔心,認爲將來勢必有更多惡意軟件做者跟進,形成安全控管的威脅。不過ZDNet認爲安全業界必定也會找出因應之道。DoH目前由標準組織IETF支持,發佈RFC 8484 規範文件。2018年9月發佈的Firefox 62正式版加入這項功能。Google也在6月底宣佈其公共DNS服務正式支持DoH。併發

相關文章
相關標籤/搜索