DNS over HTTPS(DoH)被视为确保高度隐私的新解决方案,但安全研究人员发现,黑客界也开始利用这项技术躲避侦测。
卡巴斯基安全研究人员Vicente Diaz本周在安全线上研讨会公布新发现。一个代号APT34,又称为Oilrig的伊朗黑客组织至少从今年5月起,开始利用DoH及相关工具进行窃密。
DNS over HTTPS是终端设备利用加密的HTTPS连接,向DNS服务器发送解析请求,而非传统上使用的明文请求,旨在避免用户请求受到审查、监控或遭到篡改,标榜能够强化用户的隐私与安全。Diaz发现,Oilrig黑客在5月间利用一项名为DNSExfiltrator的工具,针对与新冠肺炎(COVID-19)有关的单位发动窃密攻击,成为第一个用DoH发动攻击的APT组织。
DNSExfiltrator是一款测试资料外泄的开源工具,可作为红队演练之用。它默认使用DNS服务器、创建DNS协议隐秘信道(Covert Channel)来传输文件。但是如果使用Google或CloudFlare DoH服务器,则可改创建DoH连接。
事实上,这个组织过去就曾利用DNS相关的黑客工具来作案,因此转用DNSExfiltrator也不令人意外。研究人员指出,Oilrig用DNSExfiltrator在受害组织内部网络横向移动,且将资料对外泄露,可能就是看中DoH在其搬移资料时免于侦测或监控的能力。
不过研究人员未说明伊朗黑客黑入的是哪家企业。ZDNet报道,5月间正在研发新冠肺炎疫苗的制药大厂Gilead,遭到不明伊朗黑客发动精准钓鱼信件攻击。安全研究界相信大部分伊朗APT组织,都是受命于该国最高军事单位伊斯兰革命卫队(Islamic Revolutionary Guard Corps)。
不过第一只使用DoH技术的恶意程序,是去年发现的Godlua,它是一只后门程序,在进入受害系统后会发出DoH调用,确保与外部C&C服务器的连接稳固,以便日后接收指令。