伊朗黑客组织成为首个将DNS-over-HTTPS(DoH)武器化的已知APT

3wthx

一个被称为Oilrig的伊朗黑客组织已经成为第一个在其攻击中加入DNS-over-HTTPS(DoH)协议的公开知名威胁行为者。
5 B5 T$ e/ K. Z4 F/ l! x7 A0 d
& x/ i; r  I+ h/ z, P8 m4 i3 o5 o: D反病毒制造商卡巴斯基的恶意软件分析师Vincente Diaz在上周的一次网络研讨会上表示，这一变化发生在今年5月，当时Oilrig在其黑客武器库中增加了一个新工具。
: u& G! r8 K9 v7 i/ G4 L2 d
据Diaz称，Oilrig运营商开始使用一种名为DNSExfiltrator的新工具，作为他们入侵黑客网络的一部分。

% x5 U, O/ Z  [5 `6 UDNSExfiltrator是GitHub上的一个开源项目，它通过漏斗数据并将其隐藏在非标准协议内来创建秘密通信渠道。
5 Y! U* f- f; L# V( G" D4 W8 W
8 O$ x! _! Q. p# D. v# Z! m正如它的名字所暗示的那样，该工具可以使用经典的DNS请求在两点之间传输数据，但它也可以使用较新的DoH协议。
3 ^/ u8 I; |: B% q+ [
0 r/ R3 C0 Y5 g: e6 F$ G3 hDiaz表示，Oilrig也就是APT34，一直在使用DNSExfiltrator在内部网络中横向移动数据，然后将数据外流到外部点。

Oilrig很有可能使用DoH作为外逃渠道，以避免在移动被盗数据时被检测或监控其活动。

1 i; x2 V2 w5 u, W2 i% |这是因为DoH协议目前是一个理想的外逃渠道，主要原因有两个。第一，它是一个新的协议，并不是所有的安全产品都能监测到它。第二，它默认是加密的，而DNS是明文的。

Oilrig在DNS外泄通道方面有一定的历史经验

' s3 T! {3 @. k$ ?% X- Y6 vOilrig是最早部署DoH的APT（Advanced Persistent Threats——一个用于描述政府支持的黑客组织的术语）之一，这一事实也并不奇怪。

/ U+ W' |; X, @5 w从历史上看，该组织曾涉足基于DNS的渗滤技术。根据Talos、NSFOCUS和Palo Alto Networks的报告，在5月份采用开源的DNSExfiltrator工具包之前，该组织至少从2018年开始就一直在使用一个名为DNSpionage的定制工具。
6 V8 ^4 U, w% G9 [. I6 p
$ u; Q) s3 ^8 M7 v6 {! d/ X在5月份的活动中，卡巴斯基表示，Oilrig通过DoH向COVID-19相关域渗透数据。
' k) }: ~/ W6 D
8 g) ~: g1 a( ]( h2 d同月，路透社独立报道了一场由身份不明的伊朗黑客策划的鱼叉式钓鱼活动，他们的目标是参谋制药巨头吉利德，吉利德当时宣布开始研发COVID-19病毒的治疗方法。不过，目前还不清楚这些是否是同一事件。

' l( H2 z, f+ O% d6 N2 O7 Z此前的报道将大多数伊朗APT联系起来，作为伊朗最高军事实体伊斯兰革命卫队的成员或作为承包商工作。
; M' P! ?+ r* P  c' g+ q! T& `" y
& y5 Z" c( `9 X但是，虽然Oilrig是第一个公开报道的使用DoH的APT，但它现在是第一个这样做的恶意软件操作，一般来说。根据中国网络安全巨头奇虎360的网络威胁猎杀部门Netlab的报告，基于Lua的Linux恶意软件Godlua是第一个在2019年7月部署DoH作为其DDoS僵尸网络的一部分。
2 L. u% B3 H2 f