Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Обнаружено первое в мире вредоносное ПО, использующее DoH-запросы

04/07/19

DoH

Исследователи подразделения Netlab китайской ИБ-компании Qihoo 360 обнаружили первый в мире образец вредоносного ПО, использующий протокол DNS поверх HTTPS (DoH).

Вредоносное ПО Godlua написано на языке Lua и на зараженной системе играет роль бэкдора. Злоумышленники используют его для заражения устаревших Linux-серверов через уязвимость в Atlassian Confluence Server (CVE-2019-3396).

Загруженные на VirusTotal ранние версии вредоноса были ошибочно классифицированы как майнеры криптовалют, но на самом деле Godlua является DDoS-ботом, уже используемым в реальных атаках. На данный момент исследователи выявили только два образца вредоноса с похожей архитектурой. Обе версии используют DoH-запросы на текстовые записи DNS, содержащие URL-адрес C&C-сервера, к которому Godlua подключается для получения инструкций.

Сама по себе техника получения URL-адреса C&C-сервера из текстовой записи DNS далеко не нова. Новое здесь – использование DoH-запросов вместо стандартных DNS-запросов. Как следует из названия протокола, DNS поверх HTTPS отправляет DNS-запросы по HTTPS. DoH-запросы являются зашифрованными и невидимыми для сторонних наблюдателей, в том числе для решений безопасности, использующих пассивный мониторинг DNS для блокировки запросов к известным вредоносным доменам.

Эксперты обеспокоены тем, что вскоре операторы других вредоносов возьмут на вооружение данную технику, сделав огромное число ИБ-решений бесполезными.

Темы:ПреступленияDNSHTTPQihoo 360
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...