0xNews - DNS-over-HTTPS 터널링을 활용하는 새로운 리눅스 백도어 발견
0xNews - DNS-over-HTTPS 터널링을 활용하는 새로운 리눅스 백도어 발견 stairwell 발표 https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant/ ChamelDoH 로 명명 DoH DNS-over-HTTPS 터널링을 통해 통신하기 위한 C++ 기반 도구 ChamelGang 으로 알려진 사이버그룹은 2021년 9월 러시아 사이버 보안회사인 Positive Technologies 가 러시아, 미국, 인도, 네팔, 대만 등의 국가의 연료, 에너지 부분의 산업기반 회사에 대한 공격을 자세히 설명하면서 최초로 공개 이 사이버그룹의 공격 체인은 MS Exchange 서버, RedHat JBoss enterprise 애플리케이션의 취약점을 활용 초기 접속 권한을 획득 후 DoorMe 라는 패시브 백도어를 사용 데이터 탈취 공격 수행 HTTP 요청과 응답 Requests and Responses 처리되는 필터로 등록된 기본 IIS 모듈 작동 원리가 매우 독특한데 백도어는 올바른 쿠키 매개변수가 설정된 요청만 처리 이번에 발견된 리눅스 백도어는 시스템 정보를 캡처하도록 설계 파일 업로드, 다운로드, 삭제 외 셀 명령 실행과 같은 원격 접속 작업 가능 ChamelDoH 를 특별하게 만드는 것은 HTTPS 프로토콜을 통해 DNS 확인을 수행하는데 사용되는 DoH를 사용 악의적으로 네임서버에 DNS TXT 요청을 보내는 새로운 통신 방법 이러한 DoH 제공업체가 정상적인 트래픽을 위해 일반적으로 DNS서버를 활용 이로 인해 전사적으로 쉽게 차단할 수 없음 C2 command-and-control 서버에서 DoH 를 사용하면 HTTPS를 사용하기 때문에 AitM Adversary-in-the-Middle 공격을 통해 요청을 가로챌 수 없다는 점에서 공격자에게 추가적인 이점이 있음 보안 솔루션이 악의적인 DoH 요청을 식별하거나 금지할 수 없으며 통신을 단절하여 손상된 호스트와 C2