為了提升域名解析服務的安全性,行業內推出了叫做 DNS over HTTPS 的解決方案(簡稱 DoH)。然而 Network Security 研究實驗室的伙計們,已經發現了首個利用 DoH 協議的惡意軟件,它就是基于 Lua 編程語言的 Godlua 。這個名字源于 Lua 代碼庫和七種一個樣本源碼中包含的神奇字符 God 。
這款后門程序可利用 DoH 來掩蓋其 DNS 流量
基于 HTTPS 的域名解析服務的增長勢頭一直很強勁,去年 10 月,互聯網工程任務組正式發布了 DoH(RCF 8484)。
盡管并不是新鮮的概念,但首個利用 DoH 的惡意軟件,還是讓行業提前感受到了影響未來的新一輪正邪攻防戰。
Netlab 研究人員在報告中提到,他們發現了一個可疑的 ELF 文件,但最初誤以為它只是一款加密貨幣挖礦木馬。
盡管尚未確認或否認任何加密貨幣的挖掘功能,但他們已證實其行為更像是分布式拒絕服務(DDoS)機器人。
(截圖 via TechSpot)
研究人員觀察到,該文件會在被感染系統上作為“基于 Lua 的后門”來運行,且注意到至少有一次針對 liuxiaobei.com 的 DDoS 攻擊。截至目前,Netlab 已經發現了至少兩個未利用傳統 DNS 的變種。
借助 DNS over HTTPS,惡意軟件可通過加密的 HTTPS 連接來隱藏其 DNS 流量,使得 Godlua 能夠躲過 DNS 監控,這已經足夠讓網絡安全專家感到震驚。
據悉,谷歌和 Mozilla 都已經提供了對 DoH 的支持,前者甚至將 DoH 作為其公共 DNS 服務的一部分。此外,Cloudflare 等互聯網基礎設施服務提供商,也提供了對 DoH 的支持。
