제퍼넷 로고

DoH는 봇넷 추적을 어렵게 합니다: Spamhaus

시간

스팸 방지 비영리 단체 Spamhaus에 따르면 명령 및 제어 통신에 DoH(DNS over HTTPS)를 사용하면 봇넷을 추적하기가 더 어려워집니다.

스팸 및 관련 위협에 대한 정보 제공을 전문으로 하는 Spamhaus는 목요일 23년 마지막 분기에 새로운 봇넷 명령 및 제어(C&C) 서버가 2021% 증가했다고 보고했습니다.

그러나 조직은 DoH의 사용이 "사이버범죄자들에게 유리한 방향으로 기울어진다"고 불평했습니다.

DoH 프로토콜은 DNS 정보가 전송되는 동안 암호화로 보호되도록 하여 개인 정보 보호 및 보안을 강화하도록 설계되었습니다. DoH는 점점 더 채택 주요 웹 브라우저 제조업체, 심지어 NSA는 조언했다 기업이 그것을 사용합니다.

그러나 DoH는 사이버 범죄자들에 의해 점점 더 많이 활용되고 있습니다. 통신을 보호하기 위해 DoH를 남용한 최초의 맬웨어 제품군은 갓루아 백도어, 2019년, 그리고 다른 위협 행위자들은 그 이후로 프로토콜을 사용하여 그들의 활동을 숨기다.

스팸하우스는 목요일 2021년 XNUMX분기에 FluBot과 TeamBot 악성코드 제품군이 "백도어 악성코드의 폭발"에 책임이 있다고 밝혔습니다. 그러나 XNUMX분기에는 완전히 사라진 것처럼 보였습니다.

비영리 단체는 두 가지 위협이 여전히 매우 활발하지만 Google 및 Alibaba와 같은 주요 회사에서 제공하는 DoH 서비스를 포함하여 DoH를 사용하기 때문에 더 이상 가시성이 없다고 말합니다.

조직은 더 이상 가시성이 없기 때문에 불평했습니다. 플루봇 및 TeamBot DNS 요청이 있는 경우 더 이상 사용하는 IP 주소를 식별하여 차단 목록에 추가할 수 없습니다. 이러한 목록은 회사에서 악의적인 트래픽을 차단하는 데 사용할 수 있습니다.

"DoH는 악의적인 사용자를 추적하는 것을 훨씬 더 어렵게 만들 뿐만 아니라 DNS 모니터링 및 필터링을 기반으로 하는 보안 제품이 덜 효과적일 수 있음을 의미합니다. 이는 이상적이지 않습니다." 스팸하우스가 말했다. "주요 DoH 제공업체가 봇넷, 피싱 또는 맬웨어 도메인의 유해한 DNS 확인을 필터링하지 않기 때문에 보안 문제가 복잡해집니다."

관련 : 암호 해독 없이 DNS-Over-HTTPS 트래픽 식별 가능

관련 : 프로메테우스 TDS 작업에 뛰어든 블랙베리 연구원

관련 : DoH와 함께 출시된 Chrome 78, 37개의 보안 패치

전망대

에두아르드 코바츠(뿡 @ajdqkqn)는 SecurityWeek의 기고 편집자입니다. 그는 Softpedia의 보안 뉴스 기자로 저널리즘 경력을 시작하기 전에 XNUMX 년 동안 고등학교 IT 교사로 일했습니다. Eduard는 산업 정보학 학사 학위와 전기 공학에 적용되는 컴퓨터 기술 석사 학위를 받았습니다.

Eduard Kovacs의 이전 칼럼 :
태그 :

출처: https://www.securityweek.com/doh-makes-it-difficult-track-botnets-spamhaus

spot_img

최신 인텔리전스

spot_img