Исследователи в области безопасности из Netlab, подразделения по поиску сетевых угроз китайского гиганта кибербезопасности Qihoo 360, обнаружили первый в мире штамм вредоносного ПО, использующий протокол DNS по HTTPS (DoH).
Вредоносное ПО под названием Godlua было подробно описано в отчете, опубликованном в понедельник исследователями компании.
По словам команды Netlab, Godlua – это вредоносная программа, написанная на Lua, которая действует как бэкдор на зараженных системах. Он написан для работы на серверах Linux, злоумышленники используют эксплойт Confluence (CVE-2019-3396) для заражения устаревших систем, а ранние образцы, загруженные на VirusTotal, неправильно маркировали его как майнер криптовалюты.
Но исследователи Netlab говорят, что вредоносная программа на самом деле работает как DDoS-бот, и они уже видели, как она используется для атак, одна из которых направлена против liuxiaobei.com, домашней страницы фан-сайта Лю Сяобэй.
DOH ПОМОГАЕТ ВРЕДОНОСНЫМ ПРОГРАММАМ ИЗБЕГАТЬ ПАССИВНОГО МОНИТОРИНГА DNS
Исследователи говорят, что они обнаружили две версии Godlua с несколько схожей архитектурой. Обе версии использовали запросы DNS поверх HTTPS для получения TXT (текстовой записи) доменного имени, где хранился URL-адрес последующего сервера управления и контроля (C & C), и к которому вредоносная программа Godlua должна была подключаться для получения дальнейших инструкций. ,
Этот метод извлечения URL-адресов C / C-сервера второй / третьей стадии из текстовых записей DNS не является новым. Новшеством здесь является использование DoH-запроса вместо классического DNS-запроса.
Как ясно видно из названия протокола, DNS через HTTPS работает, отправляя запросы DNS через зашифрованное соединение HTTPS, а не используя классический открытый текстовый запрос UDP.
Запрос DoH (DNS) зашифрован и невидим для сторонних наблюдателей, включая программное обеспечение для обеспечения кибербезопасности, которое использует пассивный мониторинг DNS для блокировки запросов к известным вредоносным доменам.
НАДВИГАЮЩАЯСЯ ПРОБЛЕМА ДЛЯ СООБЩЕСТВА КИБЕРБЕЗОПАСНОСТИ
Обнаружение того, что Godlua использует DoH для сокрытия трафика DNS, вызвало ударную волну в сообществе кибербезопасности на этой неделе, и многие из них отреагировали как на Twitter [ 1 , 2 ], так и на Reddit .
Спойлер: будет больше. Много, много больше. DoH собирается сломать много мер безопасности. https://t.co/Eo8QqP3Mmd
– Кевин Бомонт ? (@GossiTheDog) 2 июля 2019 г.
DNS-запросы – не единственный IOC, но они сильно зависят.
– Уэсли МакГрю (@McGrewSecurity) 3 июля 2019 г.
Многие выражают опасения, что другие разновидности вредоносного ПО теперь также примут эту функцию, что сделает большую часть продуктов для кибербезопасности, которые полагаются на пассивный мониторинг DNS, бесполезной.
Их страх оправдан; однако сообщество кибербезопасности всегда находило обходные пути для любых хитростей, которые использует вредоносная программа, и ожидается, что они найдут способ справиться с любыми проблемами, использующими DoH.
Более подробную информацию о протоколе DoH можно найти в документе RFC 8484 Целевой группы по Интернет-разработкам (IETF) .
Основные браузеры, такие как Firefox и Chrome, уже поддерживают DoH. В прошлом месяце Google объявил о поддержке DoH своей общедоступной службы DNS , которую компания предоставляет бесплатно пользователям в странах, где правительства фильтруют и блокируют интернет-трафик на основе пассивного мониторинга DNS.
