中国威胁组织“ChamelGang”使用以前未知的名为“ChamelDoH”的植入程序感染 Linux 设备,允许与攻击者的服务器进行 DNS-over-HTTPS 通信。
Positive Technologies于 2021 年 9 月首次记录了该特定威胁行为者 ;然而,研究人员只关注 Windows 工具包。
Stairwell昨天发布 并与 BleepingComputer 分享的一份报告描述了一种用 C++ 编写的新 Linux 植入程序,它扩展了威胁行为者的入侵武器库,并扩展了攻击者的妥协指标。
ChamelGang 和新的 Linux 恶意软件之间的联系基于先前与威胁参与者关联的域和 Positive Technologies 在过去的 ChamelGang 活动中观察到的自定义特权提升工具。
用于恶意软件通信的 DNS-over-HTTPS
软件和操作系统使用 DNS(域名系统)协议将人类可读的主机名解析为 IP 地址,然后用于建立网络连接。
但是,DNS 查询以未加密的纯文本形式发送,允许组织、ISP 和其他人监视 DNS 请求。
由于这被认为是一种隐私风险并允许政府审查互联网,因此创建了一个名为 DNS-over-HTTPS 的新 DNS 协议来加密 DNS 查询,因此它们不会被窥探。
然而,这是一把双刃剑,因为恶意软件可以将其用作有效的加密通信通道,使安全软件更难监控恶意网络通信。
在 ChamelDoH 案例中,DNS-over-HTTPS 在受感染设备与命令和控制服务器之间提供加密通信,使恶意查询与常规 HTTPS 流量无法区分。
此外,DoH 可以使用信誉良好的组织提供的与 DoH 兼容的服务器来帮助绕过本地 DNS 服务器,这在本案例中并未出现。
最后,由于 DNS 请求使用来自 Google 和 Cloudflare 的合法 DoH 服务器,因此在不影响合法流量的情况下几乎不可能阻止它们。
ChamelDoH 使用存储在其 JSON 配置中的两个密钥“ns_record”和“doh”来获取 C2 主机名和可被滥用以执行 DoH 查询的合法 DoH 云提供商列表。
所有恶意软件的通信都使用 AES128 和修改后的 base64 编码加密,其中包含非字母数字字符的替代品。然后将传输的数据作为主机名附加到列出的恶意软件命令和控制服务器。
此修改允许恶意软件对包含编码命令和控制服务器 (C2) 通信的域发出 TXT 请求,从而掩盖这些请求的性质并降低被检测到的可能性。
例如,当查询 TXT 记录时,来自恶意软件的 DoH 查询将使用 <encoded_data>.ns2.spezialsec[.].com。收到查询的恶意名称服务器随后将提取和解密编码部分,以接收来自受感染设备的泄露数据。
C2 将使用编码的 TXT 记录进行响应,其中包含恶意软件应在受感染设备上执行的命令。
执行时,恶意软件会收集其主机的基本数据,包括名称、IP地址、CPU架构和系统版本,并生成一个唯一的ID。
Stairwell 研究人员发现,ChamelDoH 支持以下命令,其操作员可以通过 DNS-over-HTTPS 请求中收到的 TXT 记录远程发出这些命令:
- run – 执行一个文件/shell 命令
- sleep – 设置到下一次签到的秒数
- wget – 从 URL 下载文件
- 上传——读取并上传文件
- 下载– 下载并写入文件
- rm——删除一个文件
- cp – 将文件复制到新位置
- cd——改变工作目录
Stairwell 的分析表明,ChamelDoH 于 2022 年 12 月首次上传到 VirusTotal。
在撰写本文时,该平台的任何反病毒引擎均未将其标记为恶意。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 中国黑客使用 DNS-over-HTTPS 进行 Linux 恶意软件通信
