圖片來源:翻攝自https://twitter.com/360Netlab/status/1145638384917860353

新興的DNS over HTTPS(DoH)協定,以強化用戶的隱私保護的承諾,而頗受眾人期待,不過安全研究人員發現已經有駭客撰寫出使用DoH技術的惡意程式

安全廠商Netlab今年稍早發現一隻可疑的ELF檔案,被部份防毒軟體判定為挖礦程式,不過仔細分析,卻是一款後門程式。這個程式因為其Lua bytecode檔案幻數(magic number)為「God」,因而被研究人員命名為Godlua。

Godlua利用Confluence軟體漏洞CVE-2019-3396感染Linux伺服器。它會利用這些受害伺服器發動分散式阻斷服務(DDoS)攻擊。研究人員發現攻擊者對中國一個「www.liuxiaobei.top」的網站,發動分散式HTTP 洪水攻擊(HTTP Flood attack)。

目前安全公司發現二個Godlua 的樣本,不過功能類似。感染受害伺服器後,Godlua會和C&C伺服器建立連線。這隻後門程式特色包括會建立備援連線,駭客會將第二或第三台C2C伺服器域名儲存在Pastebin.com、GitHub.com上的DNS TXT檔案中。此外,它還會以HTTPS連線下載Lua bytecode檔案,並發出DoH呼叫取得檔案,確保攻擊代理程式、受害伺服器及C&C伺服器維持穩固連線以及駭客未來下達指令,後者則是相當新穎的作法,因為它已經可以使用DoH而非傳統DNS呼叫。

DoH於已加密的HTTPS協定進行DNS解析請求,旨在避免原始DNS協定中,用戶的DNS解析請求被竊聽或者修改的問題(例如中間人攻擊),達到保護用戶隱私的目的。

而這個首度利用DoH技術的惡意程式新聞,也讓部分安全專家感到擔憂,認為未來勢必有更多惡意程式作者跟進,造成安全控管的威脅。不過ZDNet認為安全業界一定也會找出因應之道。

DoH目前由標準組織IETF支持,發佈RFC 8484 規範文件。2018年9月發布的Firefox 62正式版加入這項功能Google也在6月底宣佈其公共DNS服務正式支援DoH


Advertisement

更多 iThome相關內容