Spamhaus: использование DoH затрудняет отслеживание ботнетов

По данным некоммерческой организации Spamhaus, преступники все чаще используют DNS-over-HTTPS (DoH), и это затрудняет мониторинг активности таких ботнетов, как FluBot и TeamBot.

Spamhaus, которая специализируется на борьбе со спамом и связанных с ним угрозах, сообщает, что в последнем квартале 2021 года количество новых управляющих серверов различной малвари увеличилось на 23%. Однако эти цифры, скорее всего, далеки от реальной картины, так как использование DoH «склоняет чашу весов в пользу киберпреступников».


Напомню, что вся суть протокола DoH отражена в его названии: он отправляет DNS-запросы на специальные DoH-совместимые DNS-серверы через зашифрованное соединение HTTPS, но не использует классические незашифрованные UDP-запросы. Кроме того, DoH работает на уровне приложений, а не на уровне ОС. По сути, он скрывает DNS-запросы внутри обычного потока HTTPS-данных.

Увы, сейчас DoH используют не только почти все современные браузеры, но и преступники. Первой малварью, взявшей DoH на вооружение для защиты своих коммуникаций, еще в 2019 году стал бэкдор GodLua. За прошедшие годы этому примеру последовали и другие хакеры.

В частности Spamhaus заявляет, что семейства малвари FluBot и TeamBot ответственны за взрывной рост бэкдоров в третьем квартале 2021 года, однако в четвертом квартале они почти полностью исчезли с радаров. При этом точно известно, что обе угрозы активны, просто «невидимы» в силу использования DoH (включая DoH-сервисы, предоставляемые крупными компаниями, включая Google и Alibaba).

Аналитики Spamhaus жалуются, что теперь не могут идентифицировать IP-адреса FluBot и TeamBot, и внести их в черные списки, которые помогают компаниями в вопросах блокировки вредоносного трафика.

Хакер.ру
 
Назад
Сверху Снизу