标签：DoH DNSExfiltrator HTTPS over DNS 使用 Oilrig 恶意软件

反病毒制造商卡巴斯基的恶意软件分析师Vincente Diaz表示，这一变化发生在今年5月，当时Oilrig向其***库中添加了新工具。

根据Diaz的说法，Oilrig运营商开始使用一种名为DNSExfiltrator的新实用程序，作为其***被黑网络的一部分。

DNSExfiltrator是可在GitHub上使用的开源项目，该项目通过将数据汇入并将其隐藏在非标准协议中来创建隐蔽的通信渠道。

顾名思义，该工具可以使用传统的DNS请求在两点之间传输数据，但也可以使用更新的DoH协议。

迪亚兹说，Oilrig也称为APT34一直在使用DNSExfiltrator在内部网络中横向移动数据，然后将其泄漏到外部。

Oilrig最有可能使用DoH作为***渠道，以避免在移动被盗数据时检测或监视其活动。

这是因为出于两个主要原因，DoH协议当前是理想的***渠道。首先，这是一个新协议，并非所有安全产品都能够监视。其次，默认情况下它是加密的，而DNS是明文。

OILRIG拥有DNS***通道的历史

Oilrig是部署DoH的首批APT（高级持久威胁）之一，这一事实也不足为奇。

从历史上看，该小组涉足基于DNS的***技术。根据Talos，NSFOCUS和Palo Alto Networks的报告，在5月份采用开放源DNSExfiltrator工具包之前，该小组至少从2018年起就一直使用名为DNSpionage的定制工具。

但是，尽管Oilrig是第一个使用DoH的公开报道的APT组织，但通常来说，它现在是第一个使用DoH的恶意软件操作。根据中国网络安全巨头奇虎360的网络威胁搜寻部门Netlab 的一份报告，基于Lua的Linux恶意软件Godlua于2019年7月首次将DoH部署为其DDoS僵尸网络的一部分。

尽管DoH技术的推广及改进是为了持续改善域名安全状况。但与此同时，还会也有更多的***者使用DoH来隐藏活动，更早地关注到这一点，对于企业安全防御来说有重要的意义。

参考链接：https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/

标签：DoH,DNSExfiltrator,HTTPS,over,DNS,使用,Oilrig,恶意软件
来源： https://blog.51cto.com/14872976/2523405

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。