Интернет и безопасность

Первый вредоносный код обнаружил злоупотребление новым протоколом DoH (DNS через HTTPS)

Godlua, бот Linux DDoS, является первым в мире штаммом вредоносного ПО, использующим DoH для сокрытия своего трафика DNS

Исследователи в области безопасности из Netlab, подразделения по поиску сетевых угроз китайского гиганта кибербезопасности Qihoo 360, обнаружили первый в мире штамм вредоносного ПО, использующий протокол DNS по HTTPS (DoH).

Вредоносное ПО под названием Godlua было подробно описано в отчете, опубликованном в понедельник исследователями компании.

По словам команды Netlab, Godlua – это вредоносная программа, написанная на Lua, которая действует как бэкдор на зараженных системах. Он написан для работы на серверах Linux, злоумышленники используют эксплойт Confluence (CVE-2019-3396) для заражения устаревших систем, а ранние образцы, загруженные на VirusTotal, неправильно маркировали его как майнер криптовалюты.

Но исследователи Netlab говорят, что вредоносная программа на самом деле работает как DDoS-бот, и они уже видели, как она используется для атак, одна из которых направлена ​​против liuxiaobei.com, домашней страницы фан-сайта Лю Сяобэй.

DOH ПОМОГАЕТ ВРЕДОНОСНЫМ ПРОГРАММАМ ИЗБЕГАТЬ ПАССИВНОГО МОНИТОРИНГА DNS

Исследователи говорят, что они обнаружили две версии Godlua с несколько схожей архитектурой. Обе версии использовали запросы DNS поверх HTTPS для получения TXT (текстовой записи) доменного имени, где хранился URL-адрес последующего сервера управления и контроля (C & C), и к которому вредоносная программа Godlua должна была подключаться для получения дальнейших инструкций. ,

Этот метод извлечения URL-адресов C / C-сервера второй / третьей стадии из текстовых записей DNS не является новым. Новшеством здесь является использование DoH-запроса вместо классического DNS-запроса.

Как ясно видно из названия протокола, DNS через HTTPS работает, отправляя запросы DNS через зашифрованное соединение HTTPS, а не используя классический открытый текстовый запрос UDP.

Запрос DoH (DNS) зашифрован и невидим для сторонних наблюдателей, включая программное обеспечение для обеспечения кибербезопасности, которое использует пассивный мониторинг DNS для блокировки запросов к известным вредоносным доменам.

НАДВИГАЮЩАЯСЯ ПРОБЛЕМА ДЛЯ СООБЩЕСТВА КИБЕРБЕЗОПАСНОСТИ

Обнаружение того, что Godlua использует DoH для сокрытия трафика DNS, вызвало ударную волну в сообществе кибербезопасности на этой неделе, и многие из них отреагировали как на Twitter [ 1 , 2 ], так и на Reddit .

Многие выражают опасения, что другие разновидности вредоносного ПО теперь также примут эту функцию, что сделает большую часть продуктов для кибербезопасности, которые полагаются на пассивный мониторинг DNS, бесполезной.

Их страх оправдан; однако сообщество кибербезопасности всегда находило обходные пути для любых хитростей, которые использует вредоносная программа, и ожидается, что они найдут способ справиться с любыми проблемами, использующими DoH.

Более подробную информацию о протоколе DoH можно найти в документе RFC 8484 Целевой группы по Интернет-разработкам (IETF) .

Основные браузеры, такие как Firefox и Chrome, уже поддерживают DoH. В прошлом месяце Google объявил о поддержке DoH своей общедоступной службы DNS , которую компания предоставляет бесплатно пользователям в странах, где правительства фильтруют и блокируют интернет-трафик на основе пассивного мониторинга DNS.

Источник

Теги
Показать больше

newsvan

В комментариях запрещены: нецензурная брань во всех видах, высказывания способствующие разжиганию межнациональной, межрелигиозной и иной розни, рекламные сообщения, провокации и оскорбления, а также комментарии, содержащие ссылки на сторонние сайты. Также просим вас не обращаться в комментариях к героям статей, политикам и международным лидерам — они вас не услышат. Бессодержательные, бессвязные и комментарии, требующие перевода с экзотических языков, а также конспирологические теории и проекции будут удаляться. Спасибо за понимание! 🤘
Close
Close

Обнаружен Adblock

Пожалуйста, поддержите нас, отключив блокировку рекламы