APT组织的最新工具，将DNS-over-HTTPS (DoH)武器化

目前，已经发现了第一个将DNS-over-HTTPS (DoH)协议纳入其攻击的APT组织，Oilrig。

根据观察，今年5月份，Oilrig向其黑客库中添加了新工具DNSExfiltrator。而这个工具是在GitHub上可用的开源项目，通过收集数据并将其隐藏在非标准协议中来创建隐蔽的通信通道。

顾名思义，也就是使用传统的DNS请求在两点之间传输数据，但也可以使用更新的DoH协议。

Oilrig使用DNSExfiltrator在受害者内部网络中横向移动，然后窃取数据。而DoH作为渗透渠道，一方面由于其是新的协议，很多安全产品还无法进行监测解析，另一方面，DoH是默认加密的，这也能够避免其在窃取数据时被检测到。

事实上，仔细观察也能发现，Oilrig在将DoH武器化之前也有过利用DNS渗透的历史。早在2018年，Oilrig就开始使用名为DNSpionage的定制工具。此外，基于Lua的Linux恶意软件Godlua于2019年7月首次将DoH部署为其DDoS僵尸网络的一部分。

尽管DoH技术的推广及改进是为了持续改善域名安全状况。但与此同时，还会也有更多的攻击者使用DoH来隐藏活动，更早地关注到这一点，对于企业安全防御来说有重要的意义。

参考来源

https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/