一个名为Oilrig的组织已成为第一个将DNS-over-HTTPS（DoH）协议纳入其攻击的APT组织

反病毒制造商卡巴斯基的恶意软件分析师Vincente Diaz表示，这一变化发生在今年5月，当时Oilrig向其黑客库中添加了新工具。

根据Diaz的说法，Oilrig运营商开始使用一种名为DNSExfiltrator的新实用程序，作为其入侵被黑网络的一部分。

DNSExfiltrator是可在GitHub上使用的开源项目，该项目通过将数据汇入并将其隐藏在非标准协议中来创建隐蔽的通信渠道。

顾名思义，该工具可以使用传统的DNS请求在两点之间传输数据，但也可以使用更新的DoH协议。

迪亚兹说，Oilrig也称为APT34一直在使用DNSExfiltrator在内部网络中横向移动数据，然后将其泄漏到外部。

Oilrig最有可能使用DoH作为渗透渠道，以避免在移动被盗数据时检测或监视其活动。

这是因为出于两个主要原因，DoH协议当前是理想的渗透渠道。首先，这是一个新协议，并非所有安全产品都能够监视。其次，默认情况下它是加密的，而DNS是明文。

OILRIG拥有DNS渗透通道的历史

Oilrig是部署DoH的首批APT（高级持久威胁）之一，这一事实也不足为奇。

从历史上看，该小组涉足基于DNS的渗透技术。根据Talos，NSFOCUS和Palo Alto Networks的报告，在5月份采用开放源DNSExfiltrator工具包之前，该小组至少从2018年起就一直使用名为DNSpionage的定制工具。

但是，尽管Oilrig是第一个使用DoH的公开报道的APT组织，但通常来说，它现在是第一个使用DoH的恶意软件操作。根据中国网络安全巨头奇虎360的网络威胁搜寻部门Netlab 的一份报告，基于Lua的Linux恶意软件Godlua于2019年7月首次将DoH部署为其DDoS僵尸网络的一部分。

尽管DoH技术的推广及改进是为了持续改善域名安全状况。但与此同时，还会也有更多的攻击者使用DoH来隐藏活动，更早地关注到这一点，对于企业安全防御来说有重要的意义。

参考链接：https://www.zdnet.com/article/iranian-hacker-group-becomes-first-known-apt-to-weaponize-dns-over-https-doh/