lucywang 恶意软件 2019年7月4日发布

收藏

我们知道HTTPS加密安全协议可有效阻止中间人攻击，也可以让中间人或者运营商监测用户实时的访问信息。目前很多运营商会通过流量劫持的方式在用户访问的页面里插入广告，使用HTTPS加密的网页则不会受影响。

而在DNS领域此前都是没有加密的，即便网页是HTTPS连接，但运营商依然可以看到用户浏览的网站网页地址。DNS over HTTPS（DoH）是专门为DNS服务器推出的TLS加密功能，从用户发出访问请求开始全程加密阻止运营商查看网页地址。DoH是一个从远程通过HTTPS加密传输来解析网域名称的协议，主要目的是为了改善使用者的隐私与安全，以避免受到监听或操控。目前，DoH正申请成为RFC 8484标准。

今年六月，Google宣布，从2016年开始展开实验的DNS over HTTPS（DoH）加密DNS服务已迈入正式版，使用者现可直接在dns.google网域上，以DoH来解析网域名称系统（DNS）。

除了Google之外，包括Mozilla基金会与Cloudflare也都是DoH的支持者。早在2018年，Mozilla 就在 Firefox 中测试 DNS over HTTPs。

然而 Network Security 的研究人员，已经发现了首个利用 DoH 协议的恶意软件，它就是基于 Lua 编程语言的 Godlua 。这个名字源于其Lua代码库和其中一个样本的源代码中的神奇数字“God”，这款后门程序可利用 DoH 来隐藏其 DNS 流量。

Netlab 研究人员在研究报告中提到，他们发现了一个可疑的 ELF 文件，但最初误以为它只是一款加密货币挖矿木马。

虽然研究人员尚未确认或否认Godlua的任何加密货币挖掘功能，但他们已确认其行为更像是DDoS木马。研究人员观察到该文件在被感染系统上作为“基于Lua的后门”工作，并且已经注意到至少有一次针对liuxiaobei.com的DDoS攻击。到目前为止，研究人员已经发现了至少两个版本，都使用DNS而不是传统的DNS请求。

通过使用DNS over HTTPS，恶意软件应用可以通过加密的HTTPS连接隐藏其DNS流量，从而允许Godlua逃避被动DNS监控，这种恶意行为已经让网络安全专家感到震惊。

本来对DNS over HTTPS的使用就存在争议，Godlua的出现让那些反对者更加有理由来反对了。