DNS over HTTPS(DoH)被視為確保高度隱私的新解決方案,但安全研究人員發現,駭客界也開始利用這項技術躲避偵測。

卡巴斯基安全研究人員Vicente Diaz本周在安全線上研討會公佈新發現。一個代號APT34,又稱為Oilrig的伊朗駭客組織至少從今年5月起,開始利用DoH及相關工具進行竊密。

DNS over HTTPS是終端裝置利用加密的HTTPS連線,向DNS伺服器傳送解析請求,而非傳統上使用的明文請求,旨在避免使用者請求受到審查、監控或遭到竄改,標榜能夠強化使用者的隱私與安全。Diaz發現,Oilrig駭客在5月間利用一項名為DNSExfiltrator的工具,針對與武漢肺炎(COVID-19)有關的單位發動竊密攻擊,成為第一個用DoH發動攻擊的APT組織。

DNSExfiltrator是一款測試資料外洩的開源工具,可作為紅隊演練之用。它預設使用DNS伺服器、建立DNS協定隱密通道(Covert Channel)來傳輸檔案。但是如果使用Google或CloudFlare DoH伺服器,則可改建立DoH連線。

事實上,這個組織過去就曾利用DNS相關的駭客工具來作案,因此轉用DNSExfiltrator也不令人意外。研究人員指出,Oilrig用DNSExfiltrator在受害組織內部網路橫向移動,且將資料對外洩露,可能就是看中DoH在其搬移資料時免於偵測或監控的能力。

不過研究人員未說明伊朗駭客駭入的是哪家企業。ZDNet報導,5月間正在研發武漢肺炎疫苗的製藥大廠Gilead,遭到不明伊朗駭客發動精準釣魚信件攻擊。安全研究界相信大部份伊朗APT組織,都是受命於該國最高軍事單位伊斯蘭革命衛隊(Islamic Revolutionary Guard Corps) 。

不過第一隻使用DoH技術的惡意程式,是去年發現的Godlua,它是一隻後門程式,在進入受害系統後會發出DoH呼叫,確保與外部C&C伺服器的連線穩固,以便日後接收指令。


Advertisement

更多 iThome相關內容