พบมัลแวร์ตัวแรก ‘Godlua’ ที่ใช้ DNS over HTTPS

ผู้เชี่ยวชาญจาก Netlab หน่วย Network Threat Hunting ภายใต้ Qihoo 360 ได้ออกมารายงานถึงการค้นพบมัลแวร์ตัวแรกที่อาศัยการใช้งาน DNS over HTTPS (DoH) เป็นส่วนหนึ่งของการโจมตีซึ่งช่วยหลบเลี่ยงโซลูชันการตรวจจับภัยคุกคามทั่วไปบน DNS

Credit: ShutterStock.com

นักวิจัยตั้งชื่อให้มัลแวร์ตัวใหม่นี้ว่า Godlua โดยพัฒนาขึ้นมาจากภาษา lua ซึ่งมีฟังก์ชันเป็นทั้ง Backdoor และ Botnet DDoS ที่พบว่าถูกใช้แล้วในแคมเปญโจมตีแฟนเพจของดาราที่ชื่อ Liu Xiaobei ทั้งนี้ Godlua จะอาศัยช่องโหว่ CVE-2019-3396 เพื่อโจมตีเซิร์ฟเวอร์ลินุกซ์

อย่างไรก็ดีนักวิจัยได้พบตัวอย่างมัลแวร์ 2 เวอร์ชันและเป็นครั้งแรกที่พบมัลแวร์อาศัยโปรโตคอล DoH โดยการใช้ DoH ของมัลแวร์ตัวนี้ก็เพื่อรับ Text Record ของโดเมนเนมซึ่งภายในมี URL ที่เป็นส่วนหนึ่งของเซิร์ฟเวอร์ควบคุมบรรจุอยู่ สำหรับความน่าสนใจคือการใช้ DoH ของมัลแวร์จะทำให้โซลูชันตรวจจับภัยคุกคามที่อาศัยการวิเคราะห์ทราฟฟิค DNS ทั่วไปไม่สามารถตรวจจับได้นั่นเอง ทั้งนี้ทำให้เกิดความกังวลตามมาว่านี่อาจจะเป็นจุดกำเนิดเทรนใหม่ของการโจมตีที่อาศัยบริการดีๆ ไปทำในสิ่งอันตราย และเมื่อไม่นานนี้ Google ก็เพิ่งออกประกาศบริการ DoH สาธารณะของตนให้ใช้งานได้ฟรีออกมาด้วย

ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้จากบล็อกของ Netlab

ที่มา :  https://www.zdnet.com/article/first-ever-malware-strain-spotted-abusing-new-doh-dns-over-https-protocol/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsot เปิดใช้งาน Windows Settings Backup เป็นค่าเริ่มต้นสำหรับองค์กรบน Windows 11 26H2

Microsoft ประกาศว่าเครื่องมือ Windows settings backup and restore จะถูกเปิดใช้งานเป็นค่าเริ่มต้นบนเครื่ององค์กรที่ join กับ Microsoft Entra หรือ Entra hybrid …

Anthropic ขยาย Claude Cowork สู่ Web และ Mobile ใช้งานต่อได้แม้ไม่อยู่หน้าเครื่อง

Anthropic เปิดตัวการใช้งาน Claude Cowork ผู้ช่วย AI แบบ agentic บน web และ mobile ปลดล็อกจากการต้องเปิดแอปบนเดสก์ท็อปค้างไว้ พร้อมให้ผู้ใช้งานสั่งงานต่อและควบคุมได้จากทุกที่