首页
论坛
专栏
课程

首款利用DNS over HTTPS隐藏网络流量的恶意软件Godlua已经现身

Editor 发布于 看雪学院 2019-07-05 09:16

首个利用 DoH 协议的恶意软件,它就是基于 Lua 编程语言的 Godlua 。这个名字源于 Lua 代码库和七种一个样本源码中包含的神奇字符 God 。


这款后门程序可利用 DoH 来掩盖其 DNS 流量


基于 HTTPS 的域名解析服务的增长势头一直很强劲,去年 10 月,互联网工程任务组正式发布了 DoH(RCF 8484)。

尽管并不是新鲜的概念,但首个利用 DoH 的恶意软件,还是让行业提前感受到了影响未来的新一轮正邪攻防战。


Netlab 研究人员在报告中提到,他们发现了一个可疑的 ELF 文件,但最初误以为它只是一款加密货币挖矿木马。

尽管尚未确认或否认任何加密货币的挖掘功能,但他们已证实其行为更像是分布式拒绝服务(DDoS)机器人。


(截图 via TechSpot)


研究人员观察到,该文件会在被感染系统上作为“基于 Lua 的后门”来运行,且注意到至少有一次针对 liuxiaobei.com 的 DDoS 攻击。截至目前,Netlab 已经发现了至少两个未利用传统 DNS 的变种。


借助 DNS over HTTPS,恶意软件可通过加密的 HTTPS 连接来隐藏其 DNS 流量,使得 Godlua 能够躲过 DNS 监控,这已经足够让网络安全专家感到震惊。

据悉,谷歌和 Mozilla 都已经提供了对 DoH 的支持,前者甚至将 DoH 作为其公共 DNS 服务的一部分。此外,Cloudflare 等互联网基础设施服务提供商,也提供了对 DoH 的支持。


来源:cnBeta.COM

分享到:
最新评论 (0)
登录后即可评论