中国网络安全巨头奇虎360的网络威胁搜索部门NetLab的安全研究人员发现了有史以来第一种通过HTTPS(DoH)协议滥用DNS的恶意软件。

该公司的研究人员在周一发布的一份报告中详细介绍了这种名为Godlua的恶意软件。

根据NetLab团队的说法，Godlua是用Lua编写的一种恶意软件，在受感染的系统上就像后门一样。它是在Linux服务器上编写的，攻击者正在使用聚合漏洞(CVE-2019-3396)来感染过时的系统，而在VirusTotal上上传的早期示例错误地将其标记为一个加密货币挖掘器。

但NetLab的研究人员表示，该恶意软件实际上是一种DDoS机器人，他们已经看到它被用于攻击，其中一款针对刘晓备粉丝网站的主页--刘晓备网(liuxiaobei.com)。

研究人员说，到目前为止，他们已经发现了两个哥德鲁版本，其架构有点相似。这两个版本都通过HTTPS请求使用DNS检索域名的TXT(文本记录)，其中存储后续命令和控制(C&C)服务器的URL，并且Godlua恶意软件应该连接到该URL以获得进一步的说明。

这种从DNS文本记录中检索第二/第三阶段C&C服务器的URL地址的技术并不新鲜。这里的新特性是使用DoH请求而不是传统的DNS请求。

作为协议的名称清楚地说明，通过通过加密HTTPS连接发送DNS请求而不是使用经典的明文UDP请求，在HTTPS上的DNS工作。

DoH(DNS)请求是加密的，对第三方观察者来说是不可见的，包括依赖被动DNS监视来阻止对已知恶意域的请求的网络安全软件。

戈德鲁利用DoH隐藏dns流量的发现本周在网络安全社区引发了冲击波，许多人在twitter[1，2]和Reddit上都做出了反应。

扰流器：会有更多的。很多，更多。Doh要打破很多安全控制。https://T.CO/EO8QQP3MD

DNS请求不是唯一的IOC，但它们是靠在很大程度上。

许多人表示担心其他恶意软件菌株现在也会采用此功能，从而提供大量依赖被动DNS监控的网络安全产品。

他们的恐惧是有道理的；然而，网络安全社区总是能找到解决恶意软件使用的任何技巧的方法，而且他们也会找到一个解决任何使用DoH的漏洞的方法。

有关DoH协议的更多信息，请参见Internet工程工作组(IETF)文件RFC8484。

火狐和Chrome等主流浏览器已经支持DoH。上个月，谷歌宣布对其公共DNS服务提供DoH支持，该公司为那些政府基于被动DNS监控过滤和阻塞互联网流量的国家的用户提供免费服务。