首款利用DNS over HTTPS隐藏网络流量的恶意软件Godlua已经现身

首款利用DNS over HTTPS隐藏网络流量的恶意软件Godlua已经现身首款利用DNS over HTTPS隐藏网络流量的恶意软件Godlua已经现身

  为了提升域名解析服务的安全性,行业内推出了叫做 DNS over HTTPS 的解决方案(简称 DoH)。然而 Network Security 研究实验室的伙计们,已经发现了首个利用 DoH 协议的恶意软件,它就是基于 Lua 编程语言的 Godlua 。这个名字源于 Lua 代码库和七种一个样本源码中包含的神奇字符 God 。

  这款后门程序可利用 DoH 来掩盖其 DNS 流量

  基于 HTTPS 的域名解析服务的增长势头一直很强劲,去年 10 月,互联网工程任务组正式发布了 DoH(RCF 8484)。

  尽管并不是新鲜的概念,但首个利用 DoH 的恶意软件,还是让行业提前感受到了影响未来的新一轮正邪攻防战。

  Netlab 研究人员在报告中提到,他们发现了一个可疑的 ELF 文件,但最初误以为它只是一款加密货币挖矿木马。

  尽管尚未确认或否认任何加密货币的挖掘功能,但他们已证实其行为更像是分布式拒绝服务(DDoS)机器人。

  (截图 via TechSpot)

  研究人员观察到,该文件会在被感染系统上作为“基于 Lua 的后门”来运行,且注意到至少有一次针对 liuxiaobei.com 的 DDoS 攻击。截至目前,Netlab 已经发现了至少两个未利用传统 DNS 的变种。

  借助 DNS over HTTPS,恶意软件可通过加密的 HTTPS 连接来隐藏其 DNS 流量,使得 Godlua 能够躲过 DNS 监控,这已经足够让网络安全专家感到震惊。

  据悉,谷歌和 Mozilla 都已经提供了对 DoH 的支持,前者甚至将 DoH 作为其公共 DNS 服务的一部分。此外,Cloudflare 等互联网基础设施服务提供商,也提供了对 DoH 的支持。

网站免责声明 本网站所提供的信息,只供参考之用。 本网站及其雇员一概毋须以任何方式就任何信息传递或传送的失误、不准确或错误对用户或任何其他人士负任何直接或间接的责任。 本网站在此声明,不承担用户或任何人士就使用或未能使用本网站所提供的信息或任何链接或项目所引致的任何直接、间接、附带、从属、特殊、惩罚性或惩戒性的损害赔偿(包括但不限于收益、预期利润的损失或失去的业务、未实现预期的节省)。 本网站所提供的信息,若在任何司法管辖地区供任何人士使用或分发给任何人士时会违反该司法管辖地区的法律或条例的规定或会导致本网站或其第三方代理人受限于该司法管辖地区内的任何监管规定时,则该等信息不宜在该司法管辖地区供该等任何人士使用或分发给该等任何人士。用户须自行保证不会受限于任何限制或禁止用户使用或分发本网站所提供信息的当地的规定。 本网站图片,文字之类版权申明,因为网站可以由注册用户自行上传图片或文字,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除。 凡以任何方式登陆本网站或直接、间接使用本网站资料者,视为自愿接受本网站声明的约束。联系QQ515827934