目前,已经发现了第一个将DNS-over-HTTPS (DoH)协议纳入其攻击的APT组织,Oilrig。
根据观察,今年5月份,Oilrig向其黑客库中添加了新工具DNSExfiltrator。而这个工具是在GitHub上可用的开源项目,通过收集数据并将其隐藏在非标准协议中来创建隐蔽的通信通道。
顾名思义,也就是使用传统的DNS请求在两点之间传输数据,但也可以使用更新的DoH协议。
Oilrig使用DNSExfiltrator在受害者内部网络中横向移动,然后窃取数据。而DoH作为渗透渠道,一方面由于其是新的协议,很多安全产品还无法进行监测解析,另一方面,DoH是默认加密的,这也能够避免其在窃取数据时被检测到。
事实上,仔细观察也能发现,Oilrig在将DoH武器化之前也有过利用DNS渗透的历史。早在2018年,Oilrig就开始使用名为DNSpionage的定制工具。此外,基于Lua的Linux恶意软件Godlua于2019年7月首次将DoH部署为其DDoS僵尸网络的一部分。
尽管DoH技术的推广及改进是为了持续改善域名安全状况。但与此同时,还会也有更多的攻击者使用DoH来隐藏活动,更早地关注到这一点,对于企业安全防御来说有重要的意义。
参考来源
https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/
