利用 DNS-over-HTTPS 隧道进行隐蔽 CnC 的新 Linux 后门
2023-6-20 09:46:0 Author: Ots安全(查看原文) 阅读量:22 收藏

已观察到名为ChamelGang的威胁行为者使用以前未记录的植入程序来后门 Linux 系统,这标志着威胁行为者的能力有了新的扩展。
该恶意软件被 Stairwell 命名为ChamelDoH,是一种基于 C++ 的工具,用于通过 DNS-over-HTTPS ( DoH ) 隧道进行通信。
ChamelGang于 2021 年 9 月首次被俄罗斯网络安全公司 Positive Technologies 揭露,详细描述了它对俄罗斯、美国、印度、尼泊尔、台湾和日本的燃料、能源和航空生产行业的攻击。
攻击者安装的攻击链利用 Microsoft Exchange 服务器和 Red Hat JBoss 企业应用程序中的漏洞获得初始访问权限,并使用名为 DoorMe 的被动后门进行数据窃取攻击。
“这是一个本地IIS 模块,注册为过滤器,通过它处理 HTTP 请求和响应,”Positive Technologies 当时表示。“它的运作原理很不寻常:后门只处理那些设置了正确 cookie 参数的请求。”
Stairwell 发现的 Linux 后门本身就是用来抓取系统信息的,能够进行文件上传、下载、删除、shell 命令执行等远程访问操作。


ChamelDoH 的独特之处在于其使用 DoH 的新颖通信方法,用于通过 HTTPS 协议执行域名系统 (DNS) 解析,向流氓域名服务器发送DNS TXT 请求。

Stairwell 研究员 Daniel Mayer 说:“由于这些 DoH 提供商通常使用 DNS 服务器 [即 Cloudflare 和谷歌] 来处理合法流量,因此他们不容易在企业范围内被阻止。”

使用 DoH 进行命令和控制 (C2) 还为威胁行为者提供了额外的好处,因为由于使用 HTTPS,请求无法通过中间人攻击 (AitM) 拦截协议。

这也意味着安全解决方案无法识别和禁止恶意 DoH 请求并切断通信,从而将其转变为受感染主机和 C2 服务器之间的加密通道。

“这种策略的结果类似于通过域前端进行的 C2,其中流量被发送到托管在 CDN 上的合法服务,但通过请求的主机标头重定向到 C2 服务器——检测和预防都很困难,”Mayer 解释说。

这家总部位于加利福尼亚的网络安全公司表示,它在 VirusTotal 上共检测到 10 个 ChamelDoH 样本,其中一个样本于 2022 年 12 月 14 日上传回来。

最新的调查结果表明,“该组织还投入了大量时间和精力来研究和开发同样强大的 Linux 入侵工具集,”Mayer 说。

参考:

  • https://thehackernews.com/2023/06/chameldoh-new-linux-backdoor-utilizing.html

  • https://www.cloudflare.com/zh-cn/learning/dns/dns-records/dns-txt-record/

  • https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant/

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247499056&idx=3&sn=744117a1e1e7b3516d0cc33acc79d20f&chksm=9badb47bacda3d6d3c2b3742245c2003b64c436bf5d46d99dbfb26bc655790fdc4ad7aca7789#rd
如有侵权请联系:admin#unsafe.sh