首個針對DNS over HTTPS的惡意程式出現

新興的DNS over HTTPS（DoH）協定，以強化用戶的隱私保護的承諾，而頗受眾人期待，不過安全研究人員發現已經有駭客撰寫出使用DoH技術的惡意程式。

安全廠商Netlab今年稍早發現一隻可疑的ELF檔案，被部份防毒軟體判定為挖礦程式，不過仔細分析，卻是一款後門程式。這個程式因為其Lua bytecode檔案幻數（magic number）為「God」，因而被研究人員命名為Godlua。

Godlua利用Confluence軟體漏洞CVE-2019-3396感染Linux伺服器。它會利用這些受害伺服器發動分散式阻斷服務（DDoS）攻擊。研究人員發現攻擊者對中國一個「www.liuxiaobei.top」的網站，發動分散式HTTP 洪水攻擊（HTTP Flood attack）。

目前安全公司發現二個Godlua 的樣本，不過功能類似。感染受害伺服器後，Godlua會和C&C伺服器建立連線。這隻後門程式特色包括會建立備援連線，駭客會將第二或第三台C2C伺服器域名儲存在Pastebin.com、GitHub.com上的DNS TXT檔案中。此外，它還會以HTTPS連線下載Lua bytecode檔案，並發出DoH呼叫取得檔案，確保攻擊代理程式、受害伺服器及C&C伺服器維持穩固連線以及駭客未來下達指令，後者則是相當新穎的作法，因為它已經可以使用DoH而非傳統DNS呼叫。

DoH於已加密的HTTPS協定進行DNS解析請求，旨在避免原始DNS協定中，用戶的DNS解析請求被竊聽或者修改的問題（例如中間人攻擊），達到保護用戶隱私的目的。

而這個首度利用DoH技術的惡意程式新聞，也讓部分安全專家感到擔憂，認為未來勢必有更多惡意程式作者跟進，造成安全控管的威脅。不過ZDNet認為安全業界一定也會找出因應之道。

DoH目前由標準組織IETF支持，發佈RFC 8484 規範文件。2018年9月發布的Firefox 62正式版加入這項功能。Google也在6月底宣佈其公共DNS服務正式支援DoH。