Het gebruik van DNS via HTTPS (DoH) voor command and control-communicatie maakt het moeilijker om botnets te volgen, aldus anti-spam non-profit Spamhaus.
Spamhaus, gespecialiseerd in het verstrekken van informatie over spam en gerelateerde bedreigingen, meldde donderdag een toename van 23% in nieuwe botnet command and control (C&C) servers in het laatste kwartaal van 2021.
De organisatie klaagde echter dat het gebruik van DoH "de weegschaal doet kantelen in het voordeel van cybercriminelen".
Het DoH-protocol is ontworpen om de privacy en veiligheid te vergroten door ervoor te zorgen dat DNS-informatie tijdens het transport wordt beschermd door codering. DoH is in toenemende mate aangenomen door grote webbrowsermakers, en zelfs de NSA heeft geadviseerd bedrijven om er gebruik van te maken.
DoH wordt echter ook steeds vaker gebruikt door cybercriminelen. De eerste malwarefamilie die DoH misbruikte om communicatie te beveiligen, was de God Lua backdoor, in 2019, en andere dreigingsactoren hebben sindsdien het protocol gebruikt om hun activiteiten verbergen.
Spamhaus zei donderdag dat de FluBot- en TeamBot-malwarefamilies verantwoordelijk waren voor "een explosie in backdoor-malware" in het derde kwartaal van 2021. In het vierde kwartaal leken ze echter volledig te verdwijnen.
De non-profitorganisatie zegt dat de twee bedreigingen nog steeds erg actief zijn, maar niet langer zichtbaar zijn vanwege het gebruik van DoH, inclusief DoH-services die worden geleverd door grote bedrijven zoals Google en Alibaba.
De organisatie klaagde dat ze geen zicht meer heeft op flubot en TeamBot DNS-verzoeken, kan het de IP-adressen die ze gebruiken niet langer identificeren en toevoegen aan de blokkeerlijsten - deze lijsten kunnen door bedrijven worden gebruikt om kwaadaardig verkeer te blokkeren.
"Niet alleen maakt DoH het opsporen van onverlaten nog uitdagender, maar het betekent ook dat beveiligingsproducten op basis van DNS-monitoring en -filtering minder effectief kunnen zijn, wat verre van ideaal is", Spamhaus zei:. "Beveiligingsproblemen worden verergerd doordat grote DoH-providers schadelijke DNS-resoluties van botnet-, phishing- of malwaredomeinen niet filteren."
Zie ook: Identificatie van DNS-Over-HTTPS-verkeer zonder decodering mogelijk
Zie ook: BlackBerry-onderzoekers duiken in Prometheus TDS-operaties
Zie ook: Chrome 78 uitgebracht met DoH, 37 beveiligingspatches
Eduard Kovacs (@EduardKovacs) is een bijdragende redacteur bij SecurityWeek. Hij werkte twee jaar als IT-docent op een middelbare school voordat hij een carrière in de journalistiek begon als Softpedia's beveiligingsjournaalverslaggever. Eduard heeft een bachelordiploma in industriële informatica en een masterdiploma in computertechnieken toegepast in elektrotechniek.
Tags: Bron: https://www.securityweek.com/doh-makes-it-difficult-track-botnets-spamhaus
