ChamelDoH: 秘密 CnC に DNS-over-HTTPS トンネリングを利用する新しい Linux バックドア from thehackernews.com
security summary
攻撃者が仕掛けた攻撃チェーンは、Microsoft Exchange サーバーと Red Hat JBoss Enterprise Application の脆弱性を利用して初期アクセスを取得し、DoorMe と呼ばれるパッシブ バックドアを使用してデータ盗難攻撃を実行しました。
Stairwell が発見した Linux バックドアは、システム情報を取得するように設計されており、ファイルのアップロード、ダウンロード、削除、シェル コマンドの実行などのリモート アクセス操作が可能です。
ChamelDoH のユニークな点は、HTTPS プロトコル経由でドメイン ネーム システム (DNS) 解決を実行するために使用される DoH を使用して、不正なネームサーバーに DNS TXT リクエストを送信するという新しい通信方法です。
コマンド アンド コントロール (C2) に DoH を使用すると、HTTPS を使用するため、中間者攻撃 (AitM) 攻撃によってリクエストを傍受できないという点で、脅威アクターにとって追加の利点も得られます。
洞察力に富んだウェビナーに参加してください!
これは、セキュリティ ソリューションが悪意のある DoH リクエストを特定して禁止し、通信を切断することができないため、侵害されたホストと C2 サーバー間の通信が暗号化されたチャネルになることも意味します。
コメント