為了提升域名解析服務(wù)的安全性，行業(yè)內(nèi)推出了叫做DNSoverHTTPS的解決方案（簡稱DoH）。

然而NetworkSecurity研究實驗室的伙計們，已經(jīng)發(fā)現(xiàn)了首個利用DoH協(xié)議的惡意軟件，它就是基于Lua編程語言的Godlua。

這個名字源于Lua代碼庫和七種一個樣本源碼中包含的神奇字符God。

【這款后門程序可利用DoH來掩蓋其DNS流量】

基于HTTPS的域名解析服務(wù)的增長勢頭一直很強勁，去年10月，互聯(lián)網(wǎng)工程任務(wù)組正式發(fā)布了DoH（RCF8484）。

盡管并不是新鮮的概念，但首個利用DoH的惡意軟件，還是讓行業(yè)提前感受到了影響未來的新一輪正邪攻防戰(zhàn)。

Netlab研究人員在報告中提到，他們發(fā)現(xiàn)了一個可疑的ELF文件，但最初誤以為它只是一款加密貨幣挖礦木馬。

盡管尚未確認或否認任何加密貨幣的挖掘功能，但他們已證實其行為更像是分布式拒絕服務(wù)（DDoS）機器人。

研究人員觀察到，該文件會在被感染系統(tǒng)上作為“基于Lua的后門”來運行，且注意到至少有一次針對liuxiaobei.com的DDoS攻擊。截至目前，Netlab已經(jīng)發(fā)現(xiàn)了至少兩個未利用傳統(tǒng)DNS的變種。

借助DNSoverHTTPS，惡意軟件可通過加密的HTTPS連接來隱藏其DNS流量，使得Godlua能夠躲過DNS監(jiān)控，這已經(jīng)足夠讓網(wǎng)絡(luò)安全專家感到震驚。

據(jù)悉，谷歌和Mozilla都已經(jīng)提供了對DoH的支持，前者甚至將DoH作為其公共DNS服務(wù)的一部分。此外，Cloudflare等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施服務(wù)提供商，也提供了對DoH的支持。