По данным некоммерческой организации Spamhaus, преступники все чаще используют DNS-over-HTTPS (DoH), и это затрудняет мониторинг активности таких ботнетов, как FluBot и TeamBot.
Spamhaus, которая специализируется на борьбе со спамом и связанных с ним угрозах, сообщает, что в последнем квартале 2021 года количество новых управляющих серверов различной малвари увеличилось на 23%. Однако эти цифры, скорее всего, далеки от реальной картины, так как использование DoH «склоняет чашу весов в пользу киберпреступников».
Напомню, что вся суть протокола DoH отражена в его названии: он отправляет DNS-запросы на специальные DoH-совместимые DNS-серверы через зашифрованное соединение HTTPS, но не использует классические незашифрованные UDP-запросы. Кроме того, DoH работает на уровне приложений, а не на уровне ОС. По сути, он скрывает DNS-запросы внутри обычного потока HTTPS-данных.
Увы, сейчас DoH используют не только почти все современные браузеры, но и преступники. Первой малварью, взявшей DoH на вооружение для защиты своих коммуникаций, еще в 2019 году стал бэкдор GodLua. За прошедшие годы этому примеру последовали и другие хакеры.
В частности Spamhaus заявляет, что семейства малвари FluBot и TeamBot ответственны за взрывной рост бэкдоров в третьем квартале 2021 года, однако в четвертом квартале они почти полностью исчезли с радаров. При этом точно известно, что обе угрозы активны, просто «невидимы» в силу использования DoH (включая DoH-сервисы, предоставляемые крупными компаниями, включая Google и Alibaba).
Аналитики Spamhaus жалуются, что теперь не могут идентифицировать IP-адреса FluBot и TeamBot, и внести их в черные списки, которые помогают компаниями в вопросах блокировки вредоносного трафика.
«DoH не только делает отслеживание злоумышленников более сложной задачей, но также ослабляет защитные продукты, чья работа основана на мониторинге и фильтрации DNS, что тоже нехорошо, — пишут в Spamhaus . — Эти проблемы безопасности усугубляются тем, что основные поставщики DoH не фильтруют вредоносный резолвинг DNS для ботнетов, фишинговых или вредоносных доменов».
Источник: xakep