伊朗黑客组织成为首个已知的易于将HTTPS上的DNS(DoH)武器化的组织

一家名为Oilrig的伊朗黑客组织成为第一个在攻击中使用HTTPS(DoH)协议的公知威胁参与者。

在上周的一次网络研讨会上，杀毒软件制造商卡巴斯基(Kaspersky)的恶意软件分析师Vincente Diaz表示，这一变化发生在今年5月，当时石油钻井公司(Oilrig)在其黑客武器库中增加了一种新工具。

根据Diaz的说法，石油钻井操作员开始使用一种名为DNSExfilter的新实用程序，作为入侵被黑客攻击网络的一部分。

DNSExfilter是GitHub上提供的一个开源项目，它通过收集数据并将其隐藏在非标准协议中来创建隐蔽的通信通道。

顾名思义，该工具可以使用传统的DNS请求在两点之间传输数据，但它也可以使用较新的DoH协议。

Diaz说，石油钻井平台，也被称为APT34，一直在使用DNSExfilter在内部网络之间横向移动数据，然后将其渗透到外部点。

石油钻井平台最有可能使用DoH作为渗出通道，以避免在移动被盗数据时其活动被检测或监视。

这是因为基于两个主要原因，DoH协议目前是理想的渗出通道。首先，它是一种新协议，并不是所有的安全产品都能够监控。其次，默认情况下它是加密的，而DNS是明文。

石油钻井平台是首批部署DoH的APT(高级持续威胁--一个用来描述政府支持的黑客组织)之一，这一事实也并不令人惊讶。

从历史上看，该组织曾涉足基于DNS的渗出技术。根据Talos、NsFocus和Palo Alto Networks的报告，在5月份采用开源DNSExfilter工具包之前，该组织至少从2018年就开始使用名为DNSpionage的定制工具。

同月，路透社独立报道了一场由身份不明的伊朗黑客策划的鱼叉式网络钓鱼行动，目标是员工制药巨头吉列德，该公司当时宣布开始研究新冠肺炎病毒的治疗方法。然而，目前还不清楚这些事件是否相同。

此前的报道曾将大多数伊朗APT联系在一起，认为他们是伊朗最高军事实体伊斯兰革命卫队(Islamic Revative Guard Corps)的成员或承包商。

但是，尽管石油钻井平台是第一个公开报道倾向于使用DoH的公司，但总的来说，它现在是第一个这样做的恶意软件操作。根据中国网络安全巨头奇虎360的网络威胁追踪部门NetLab的一份报告，2019年7月，基于Lua的Linux恶意软件株Godlua率先将DoH部署为其DDoS僵尸网络的一部分。