為了提升域名解析服務的安全性,行業內推出了叫做 DNS over HTTPS 的解決方案(簡稱 DoH)。
然而 Network Security 研究實驗室的夥計們,已經發現了首個利用 DoH 協議的惡意軟體,它就是基於 Lua 程式語言的 Godlua 。
這個名字源於 Lua 程式碼庫和七種一個樣本原始碼中包含的神奇字元 God 。
【這款後門程式可利用 DoH 來掩蓋其 DNS 流量】
基於 HTTPS 的域名解析服務的增長勢頭一直很強勁,去年 10 月,網際網路工程任務組正式釋出了 DoH(RCF 8484)。
儘管並不是新鮮的概念,但首個利用 DoH 的惡意軟體,還是讓行業提前感受到了影響未來的新一輪正邪攻防戰。
Netlab 研究人員在報告中提到,他們發現了一個可疑的 ELF 檔案,但最初誤以為它只是一款加密貨幣挖礦木馬。
儘管尚未確認或否認任何加密貨幣的挖掘功能,但他們已證實其行為更像是分散式拒絕服務(DDoS)機器人。
研究人員觀察到,該檔案會在被感染系統上作為“基於 Lua 的後門”來執行,且注意到至少有一次針對 liuxiaobei.com 的 DDoS 攻擊。截至目前,Netlab 已經發現了至少兩個未利用傳統 DNS 的變種。
藉助 DNS over HTTPS,惡意軟體可透過加密的 HTTPS 連線來隱藏其 DNS 流量,使得 Godlua 能夠躲過 DNS 監控,這已經足夠讓網路安全專家感到震驚。
據悉,谷歌和 Mozilla 都已經提供了對 DoH 的支援,前者甚至將 DoH 作為其公共 DNS 服務的一部分。此外,Cloudflare 等網際網路基礎設施服務提供商,也提供了對 DoH 的支援。
為了提升域名解析服務的安全性,行業內推出了叫做 DNS over HTTPS 的解決方案(簡稱 DoH)。
然而 Network Security 研究實驗室的夥計們,已經發現了首個利用 DoH 協議的惡意軟體,它就是基於 Lua 程式語言的 Godlua 。
這個名字源於 Lua 程式碼庫和七種一個樣本原始碼中包含的神奇字元 God 。
【這款後門程式可利用 DoH 來掩蓋其 DNS 流量】
基於 HTTPS 的域名解析服務的增長勢頭一直很強勁,去年 10 月,網際網路工程任務組正式釋出了 DoH(RCF 8484)。
儘管並不是新鮮的概念,但首個利用 DoH 的惡意軟體,還是讓行業提前感受到了影響未來的新一輪正邪攻防戰。
Netlab 研究人員在報告中提到,他們發現了一個可疑的 ELF 檔案,但最初誤以為它只是一款加密貨幣挖礦木馬。
儘管尚未確認或否認任何加密貨幣的挖掘功能,但他們已證實其行為更像是分散式拒絕服務(DDoS)機器人。
研究人員觀察到,該檔案會在被感染系統上作為“基於 Lua 的後門”來執行,且注意到至少有一次針對 liuxiaobei.com 的 DDoS 攻擊。截至目前,Netlab 已經發現了至少兩個未利用傳統 DNS 的變種。
藉助 DNS over HTTPS,惡意軟體可透過加密的 HTTPS 連線來隱藏其 DNS 流量,使得 Godlua 能夠躲過 DNS 監控,這已經足夠讓網路安全專家感到震驚。
據悉,谷歌和 Mozilla 都已經提供了對 DoH 的支援,前者甚至將 DoH 作為其公共 DNS 服務的一部分。此外,Cloudflare 等網際網路基礎設施服務提供商,也提供了對 DoH 的支援。