Μια ιρανική ομάδα πειρατείας γνωστή ως Oilrig γίνεται η πρώτη γνωστή στο κοινό απειλή που έχει ενσωματώσει το πρωτόκολλο DNS-over-HTTPS ( DoH ) στις επιθέσεις της.
Μιλώντας σε διαδικτυακό σεμινάριο την περασμένη εβδομάδα, ο Vincente Diaz, αναλυτής κακόβουλου λογισμικού για την εταιρεία προστασίας από ιούς Kaspersky, δήλωσε ότι η αλλαγή συνέβη τον Μάιο του τρέχοντος έτους, όταν η Oilrig πρόσθεσε ένα νέο εργαλείο στο οπλοστάσιό της.
Σύμφωνα με τον Diaz, οι χειριστές της Oilrig άρχισαν να χρησιμοποιούν ένα νέο βοηθητικό πρόγραμμα που ονομάζεται DNSExfiltrator ως μέρος των εισβολών τους σε παραβιασμένα δίκτυα.
Το DNSExfiltrator είναι ένα έργο ανοιχτού κώδικα που διατίθεται στο GitHub που δημιουργεί μυστικά κανάλια επικοινωνίας διοχετεύοντας δεδομένα και κρύβοντάς τα σε μη τυπικά πρωτόκολλα.
Όπως υποδηλώνει το όνομά του, το εργαλείο μπορεί να μεταφέρει δεδομένα μεταξύ δύο σημείων χρησιμοποιώντας κλασικά αιτήματα DNS, αλλά μπορεί επίσης να χρησιμοποιήσει το νεότερο πρωτόκολλο DoH.
Ο Diaz είπε ότι η Oilrig, επίσης γνωστή ως APT34, χρησιμοποιεί το DNSExfiltrator για να μεταφέρει δεδομένα πλευρικά σε εσωτερικά δίκτυα και στη συνέχεια να τα διηθεί σε εξωτερικό σημείο.
Το Oilrig πιθανότατα χρησιμοποιεί το DoH ως κανάλι μεταφοράς για να αποφύγει τον εντοπισμό ή την παρακολούθηση των δραστηριοτήτων του κατά τη μεταφορά κλεμμένων δεδομένων.
Αυτό συμβαίνει επειδή το πρωτόκολλο DoH είναι επί του παρόντος ένα ιδανικό κανάλι αποβολής για δύο βασικούς λόγους. Πρώτον, είναι ένα νέο πρωτόκολλο που δεν είναι σε θέση να παρακολουθούν όλα τα προϊόντα ασφαλείας. Δεύτερον, είναι κρυπτογραφημένο από προεπιλογή, ενώ το DNS είναι καθαρό κείμενο.
Πηγή : ZDnet
machine translated by Google Translate
Εμφάνιση 1-4 από 4
-
05-08-20, 14:34 Ιρανοί χάκερ γίνονται οι πρώτοι που χρησιμοποιούν κακόβουλα το DNS-over-HTTPS (DoH) #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.767
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
05-08-20, 16:11 Απάντηση: Ιρανοί χάκετρ γίνονται οι πρώτοι που χρησιμοποιούν κακόβουλα το DNS-over-HTTPS (DoH) #2
Σχόλιο ότι το κάνει και η NSA σε 3...2...1...
-
05-08-20, 17:12 Απάντηση: Ιρανοί χάκετρ γίνονται οι πρώτοι που χρησιμοποιούν κακόβουλα το DNS-over-HTTPS (DoH) #3
Δεν είναι ομάδα πειρατείας, hacking group λέει το άρθρο. Και τι κάνουν, χρησιμοποιούν ενα open source tool;
Τέλοσπάντων, η ουσία είναι οτι δεν πρόκειται για κάποιο vulnerability αλλά "δημιουργική" χρήση του Doh.
-
05-08-20, 17:15 Απάντηση: Ιρανοί χάκετρ γίνονται οι πρώτοι που χρησιμοποιούν κακόβουλα το DNS-over-HTTPS (DoH) #4
Κάνουν file transfer over DNS (γνωστό εδώ και χρόνια) αλλά τώρα το κάνουν μέσω κρυπτογραφημένου DNS δηλ του DOH.
Bookmarks