一个名为Oilrig的组织已成为第一个将DNS-over-HTTPS(DoH)协议纳入其***的APT

一个名为Oilrig的组织已成为第一个将DNS-over-HTTPS(DoH)协议纳入其***的APT

反病毒制造商卡巴斯基的恶意软件分析师Vincente Diaz表示,这一变化发生在今年5月,当时Oilrig向其***库中添加了新工具。

根据Diaz的说法,Oilrig运营商开始使用一种名为DNSExfiltrator的新实用程序,作为其***被黑网络的一部分。

DNSExfiltrator是可在GitHub上使用的开源项目,该项目通过将数据汇入并将其隐藏在非标准协议中来创建隐蔽的通信渠道。

顾名思义,该工具可以使用传统的DNS请求在两点之间传输数据,但也可以使用更新的DoH协议。

迪亚兹说,Oilrig也称为APT34一直在使用DNSExfiltrator在内部网络中横向移动数据,然后将其泄漏到外部。

Oilrig最有可能使用DoH作为***渠道,以避免在移动被盗数据时检测或监视其活动。

这是因为出于两个主要原因,DoH协议当前是理想的***渠道。首先,这是一个新协议,并非所有安全产品都能够监视。其次,默认情况下它是加密的,而DNS是明文。

OILRIG拥有DNS***通道的历史

Oilrig是部署DoH的首批APT(高级持久威胁)之一,这一事实也不足为奇。

从历史上看,该小组涉足基于DNS的***技术。根据Talos,NSFOCUS和Palo Alto Networks的报告,在5月份采用开放源DNSExfiltrator工具包之前,该小组至少从2018年起就一直使用名为DNSpionage的定制工具。

但是,尽管Oilrig是第一个使用DoH的公开报道的APT组织,但通常来说,它现在是第一个使用DoH的恶意软件操作。根据中国网络安全巨头奇虎360的网络威胁搜寻部门Netlab 的一份报告,基于Lua的Linux恶意软件Godlua于2019年7月首次将DoH部署为其DDoS僵尸网络的一部分。

尽管DoH技术的推广及改进是为了持续改善域名安全状况。但与此同时,还会也有更多的***者使用DoH来隐藏活动,更早地关注到这一点,对于企业安全防御来说有重要的意义。

参考链接:https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/

上一篇:数仓的分层


下一篇:DNS-over-HTTPS(DoH)简析与配置