close

DoH技術遭駭客組織利用,網路安全技術淪竊密工具.png

來自伊朗的APT34(Advanced Persistent Threat,進階持續性威脅)駭客組織,正利用最新的DNS over HTTPS(DoH)技術,規避既有資安設備的監控。

根據ZDnet報導,在網路安全公司Kaspersky(卡巴斯基)所舉辦的研討會上,資安專家Vicente Diaz介紹了這個在網路犯罪活動上的重大技術革新。來自伊朗的駭客組織Oilrig,開始利用DoH技術來從事駭客活動的資料傳輸,該組織利用一種名為DNSExfiltrator的工具,將資料偽裝成DNS查詢封包,並以HTTPS協議在網際網路上傳輸。使用這項至2018年才發布的新技術,許多市面上的網路安全產品皆難以偵測其活動,讓受駭者難以發現,藉此規避資安威脅偵測與監控。

DNS over HTTPS(DoH)技術在2018年由IETF(Internet Engineering Task Force,網際網路工程任務組)推出,透過HTTPS協定,建立使用者端到DNS(Domain Name Service,網域名稱系統)伺服器的點到點加密連線,藉此取代傳統上經由port 53的DNS請求,提升網路傳輸的安全性。

然而,這已經不是該威脅組織第一次利用DNS技術來從事駭客活動,自2018年底,Oilrig便已開始利用被稱為DNSpionage的客製化工具來從事駭客活動,並向數個COVID-19有關的網域傳輸資料,因此令人聯想到近期氾濫的COVID-19相關駭客活動與網路釣魚

根據美國資安公司FireEye的資料,來自伊朗的駭客組織APT34(又稱Oilrig),主要活動範圍在中東地區,針對政府、能源和金融組織進行攻擊,因此被認為與伊朗政府有所關聯。


  • 參考資料

https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/

https://malpedia.caad.fkie.fraunhofer.de/actor/apt34

https://blog.twnic.tw/2019/06/25/4125/

https://tools.ietf.org/html/rfc8484

https://www.twcert.org.tw/newepaper/cp-65-3588-12d29-3.html

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()