信息來源:hackernews
為了提升域名解析服務(wù)的安全性�,行業(yè)內(nèi)推出了叫做 DNS over HTTPS 的解決方案(簡稱 DoH)���。然而 Network Security 研究實(shí)驗(yàn)室的伙計(jì)們���,已經(jīng)發(fā)現(xiàn)了首個(gè)利用 DoH 協(xié)議的惡意軟件�����,它就是基于 Lua 編程語言的 Godlua �����。這個(gè)名字源于 Lua 代碼庫和七種一個(gè)樣本源碼中包含的神奇字符 God ���。
這款后門程序可利用 DoH 來掩蓋其 DNS 流量
基于 HTTPS 的域名解析服務(wù)的增長勢頭一直很強(qiáng)勁,去年 10 月��,互聯(lián)網(wǎng)工程任務(wù)組正式發(fā)布了 DoH(RCF 8484)�。
盡管并不是新鮮的概念,但首個(gè)利用 DoH 的惡意軟件�����,還是讓行業(yè)提前感受到了影響未來的新一輪正邪攻防戰(zhàn)���。
Netlab 研究人員在報(bào)告中提到�����,他們發(fā)現(xiàn)了一個(gè)可疑的 ELF 文件����,但最初誤以為它只是一款加密貨幣挖礦木馬�����。
盡管尚未確認(rèn)或否認(rèn)任何加密貨幣的挖掘功能��,但他們已證實(shí)其行為更像是分布式拒絕服務(wù)(DDoS)機(jī)器人��。
(截圖 via TechSpot)
研究人員觀察到��,該文件會(huì)在被感染系統(tǒng)上作為“基于 Lua 的后門”來運(yùn)行���,且注意到至少有一次針對(duì) liuxiaobei.com 的 DDoS 攻擊��。截至目前��,Netlab 已經(jīng)發(fā)現(xiàn)了至少兩個(gè)未利用傳統(tǒng) DNS 的變種���。
借助 DNS over HTTPS����,惡意軟件可通過加密的 HTTPS 連接來隱藏其 DNS 流量���,使得 Godlua 能夠躲過 DNS 監(jiān)控�����,這已經(jīng)足夠讓網(wǎng)絡(luò)安全專家感到震驚�����。
據(jù)悉����,谷歌和 Mozilla 都已經(jīng)提供了對(duì) DoH 的支持�����,前者甚至將 DoH 作為其公共 DNS 服務(wù)的一部分���。此外����,Cloudflare 等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)提供商����,也提供了對(duì) DoH 的支持。
