اولین DoH، در حمله هکرهای منتسب به ایران
به نقل از وبسایت digiato:یک گروه هک منتسب به ایران موسوم به Oilrig به اولین گروه هک شناخته شدهای تبدیل شد که از پروتکل DNS-over-HTTPS یا DoH در حملاتش استفاده میکند.«Vincente Diaz»، از تحلیلگران بدافزار برای آنتی ویروس کسپرسکی میگوید گروه هک Oilrig ماه می سال جاری میلادی ابزار جدیدی را به مجموعه ابزارهای خود […]
به نقل از وبسایت digiato:یک گروه هک منتسب به ایران موسوم به Oilrig به اولین گروه هک شناخته شدهای تبدیل شد که از پروتکل DNS-over-HTTPS یا DoH در حملاتش استفاده میکند.«Vincente Diaz»، از تحلیلگران بدافزار برای آنتی ویروس کسپرسکی میگوید گروه هک Oilrig ماه می سال جاری میلادی ابزار جدیدی را به مجموعه ابزارهای خود اضافه کرده است. به گفته او هکرهای Oilrig برای نفوذ به شبکه قربانیان استفاده از ابزار جدیدی به نام DNSExfiltrator را شروع کردهاند.
DNSExfiltrator پروژهای متن باز در گیت هاب است که با تزریق داده و پنهان کردن آن درون پروتکلهای غیر استاندارد، کانالهای ارتباطی مخفی ایجاد میکند. این ابزار همانطور که از نامش پیداست میتواند داده را با استفاده از درخواستهای DNS بین دو نقطه انتقال داده و قادر به استفاده از پروتکل جدیدتر DoH نیز است.
Diaz میگوید گروه Oilrig که با نام APT34 نیز شناخته میشود از DNSExfiltrator برای انتقال جنبی دادهها در سطح شبکههای داخلی و سپس استخراج آنها به نقطه خارجی استفاده کرده است. گروه مورد بحث احتمالاً از این ابزار به عنوان کانال استخراج برای جلوگیری از شناسایی یا نظارت حین انتقال دادههای سرقتی استفاده کرده است.
پروتکل DoH در حال حاضر به دو دلیل یکی از بهترین کانالهای استخراجی است: نخست پروتکل جدیدی بوده و همه محصولات نمیتوانند بر آن نظارت کنند و دوم برخلاف DNS به طور پیشفرض رمزگذاری شده است.
اینکه گروه Oilrig به عنوان یکی از اولین تهدیدهای پیشرفته و مستمر (APT) از پروتکل DoH استفاده کرده چندان تعجب آور نیست، چرا که در گذشته نیز از تکنیکهای استخراج مبتنی بر DNS استفاده کرده است. به گفته ZDNet گروه یاد شده پیش از بکارگیری DNSExfiltrator، دستکم از سال ۲۰۱۸ از ابزار سفارشی دیگری به نام DNSpionage استفاده کرده است. کسپرسکی میگوید این گروه در حمله ماه می دادههای دامنههای مرتبط با کووید-۱۹ را استخراج کرده است.
دیدگاهتان را بنویسید