Theo tổ chức chống thư rác Spamhaus, việc sử dụng DNS qua HTTPS (DoH) cho các giao tiếp chỉ huy và kiểm soát đang khiến việc theo dõi các mạng botnet trở nên khó khăn hơn, theo tổ chức chống thư rác Spamhaus.
Spamhaus, công ty chuyên cung cấp thông tin về thư rác và các mối đe dọa liên quan, hôm thứ Năm cho biết đã chứng kiến sự gia tăng 23% đối với các máy chủ điều khiển và chỉ huy mạng botnet (C&C) mới trong quý cuối cùng của năm 2021.
Tuy nhiên, tổ chức này phàn nàn rằng việc sử dụng DoH “nghiêng về lợi ích của tội phạm mạng”.
Giao thức DoH được thiết kế để tăng cường quyền riêng tư và bảo mật bằng cách đảm bảo rằng thông tin DNS được bảo vệ bằng mã hóa trong khi chuyển tiếp. DoH đã ngày càng con nuôi bởi các nhà sản xuất trình duyệt web lớn và thậm chí NSA đã khuyên các doanh nghiệp sử dụng nó.
Tuy nhiên, DoH cũng đang ngày càng bị tấn công bởi tội phạm mạng. Họ phần mềm độc hại đầu tiên lạm dụng DoH để bảo mật thông tin liên lạc là ThầnLúa backdoor, vào năm 2019 và các tác nhân đe dọa khác kể từ đó đã chuyển sang giao thức che giấu hoạt động của họ.
Spamhaus cho biết hôm thứ Năm rằng họ phần mềm độc hại FluBot và TeamBot là nguyên nhân gây ra “sự bùng nổ phần mềm độc hại cửa sau” vào quý 2021 năm XNUMX. Tuy nhiên, trong quý XNUMX, chúng dường như biến mất hoàn toàn.
Tổ chức phi lợi nhuận cho biết hai mối đe dọa vẫn còn hoạt động rất nhiều, nhưng nó không còn hiển thị do việc sử dụng DoH của họ, bao gồm cả các dịch vụ DoH được cung cấp bởi các công ty lớn như Google và Alibaba.
Tổ chức phàn nàn rằng vì nó không còn khả năng hiển thị vào flubot và TeamBot DNS yêu cầu, nó không còn có thể xác định địa chỉ IP mà họ sử dụng và thêm chúng vào danh sách chặn của nó - những danh sách này có thể được các công ty sử dụng để chặn lưu lượng độc hại.
“DoH không chỉ khiến việc săn lùng kẻ xấu trở nên khó khăn hơn mà còn có nghĩa là các sản phẩm bảo mật dựa trên việc theo dõi và lọc DNS có thể kém hiệu quả hơn, điều này còn xa lý tưởng”. Spamhaus cho biết. “Các vấn đề bảo mật phức tạp do các nhà cung cấp DoH lớn không lọc các giải pháp DNS có hại của các miền botnet, lừa đảo hoặc phần mềm độc hại”.
Liên quan: Có thể xác định lưu lượng truy cập DNS qua HTTPS mà không cần giải mã
Liên quan: Các nhà nghiên cứu của BlackBerry đã tham gia vào hoạt động TDS của Prometheus
Liên quan: Chrome 78 được phát hành với DoH, 37 bản vá bảo mật
Eduard Kovacs (@EduardKovacs) là một biên tập viên đóng góp tại SecurityWeek. Anh từng là giáo viên CNTT trung học trong hai năm trước khi bắt đầu sự nghiệp báo chí với tư cách là phóng viên tin tức an ninh của Softpedia. Eduard có bằng cử nhân tin học công nghiệp và bằng thạc sĩ về kỹ thuật máy tính ứng dụng trong kỹ thuật điện.
tags: Nguồn: https://www.securityweek.com/doh-makes-it-difficult-track-botnets-spamhaus
