欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

首款利用DoH隐藏网络流量的恶意软件Godlua已经现身

来源:本站整理 作者:佚名 时间:2019-07-04 TAG: 我要投稿


我们知道HTTPS加密安全协议可有效阻止中间人攻击,也可以让中间人或者运营商监测用户实时的访问信息。目前很多运营商会通过流量劫持的方式在用户访问的页面里插入广告,使用HTTPS加密的网页则不会受影响。
而在DNS领域此前都是没有加密的,即便网页是HTTPS连接,但运营商依然可以看到用户浏览的网站网页地址。DNS over HTTPS(DoH)是专门为DNS服务器推出的TLS加密功能,从用户发出访问请求开始全程加密阻止运营商查看网页地址。DoH是一个从远程通过HTTPS加密传输来解析网域名称的协议,主要目的是为了改善使用者的隐私与安全,以避免受到监听或操控。目前,DoH正申请成为RFC 8484标准。
今年六月,Google宣布,从2016年开始展开实验的DNS over HTTPS(DoH)加密DNS服务已迈入正式版,使用者现可直接在dns.google网域上,以DoH来解析网域名称系统(DNS)。
除了Google之外,包括Mozilla基金会与Cloudflare也都是DoH的支持者。早在2018年,Mozilla 就在 Firefox 中测试 DNS over HTTPs。
然而 Network Security 的研究人员,已经发现了首个利用 DoH 协议的恶意软件,它就是基于 Lua 编程语言的 Godlua 。这个名字源于其Lua代码库和其中一个样本的源代码中的神奇数字“God”,这款后门程序可利用 DoH 来隐藏其 DNS 流量。
Netlab 研究人员在研究报告中提到,他们发现了一个可疑的 ELF 文件,但最初误以为它只是一款加密货币挖矿木马。
虽然研究人员尚未确认或否认Godlua的任何加密货币挖掘功能,但他们已确认其行为更像是DDoS木马。研究人员观察到该文件在被感染系统上作为“基于Lua的后门”工作,并且已经注意到至少有一次针对liuxiaobei.com的DDoS攻击。到目前为止,研究人员已经发现了至少两个版本,都使用DNS而不是传统的DNS请求。
通过使用DNS over HTTPS,恶意软件应用可以通过加密的HTTPS连接隐藏其DNS流量,从而允许Godlua逃避被动DNS监控,这种恶意行为已经让网络安全专家感到震惊。
本来对DNS over HTTPS的使用就存在争议,Godlua的出现让那些反对者更加有理由来反对了。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载