freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

APT组织的最新工具,将DNS-over-HTTPS (DoH)武器化
2020-08-05 10:44:47

目前,已经发现了第一个将DNS-over-HTTPS (DoH)协议纳入其攻击的APT组织,Oilrig

根据观察,今年5月份,Oilrig向其黑客库中添加了新工具DNSExfiltrator。而这个工具是在GitHub上可用的开源项目,通过收集数据并将其隐藏在非标准协议中来创建隐蔽的通信通道。

顾名思义,也就是使用传统的DNS请求在两点之间传输数据,但也可以使用更新的DoH协议。

Oilrig使用DNSExfiltrator在受害者内部网络中横向移动,然后窃取数据。而DoH作为渗透渠道,一方面由于其是新的协议,很多安全产品还无法进行监测解析,另一方面,DoH是默认加密的,这也能够避免其在窃取数据时被检测到。

事实上,仔细观察也能发现,Oilrig在将DoH武器化之前也有过利用DNS渗透的历史。早在2018年,Oilrig就开始使用名为DNSpionage的定制工具。此外,基于Lua的Linux恶意软件Godlua于2019年7月首次将DoH部署为其DDoS僵尸网络的一部分。

尽管DoH技术的推广及改进是为了持续改善域名安全状况。但与此同时,还会也有更多的攻击者使用DoH来隐藏活动,更早地关注到这一点,对于企业安全防御来说有重要的意义。

参考来源

ZDNet

本文作者:, 转载请注明来自FreeBuf.COM

# DoH # APT # apt
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑