Les ingénieurs en sécurité de Netlab, une équipe de l’entreprise chinoise de cybersécurité Qihoo 360, a découvert le premier logiciel malveillant à exploiter le protocole DoH – DNS over HTTPS.

Comme son nom, Godlua, le suggère, ce logiciel malveillant est écrit en Lua. Il se transforme en porte dérobée sur les systèmes linux infectés.

Netlab a pu constater que Godlua était ensuite exploité pour des attaques massives par déni de service.

Godlua utilise des mécanismes redondants pour communiquer avec ses serveurs de commande et de contrôle (C2) : noms DNS codés en dur, Pastebin.com, GitHub, DNS TXT. Un niveau de sophistication que l’on voit rarement.

Parallèlement, le logiciel exploite le protocole HTTPS pour télécharger de façon chiffrée les fichiers Lua au format binaire à exécuter, et utilise DoH pour obtenir le nom du C2, et sécuriser la communication entres les bots, le serveur web et le serveur C2.

L’avantage de passer par DoH, plutôt que par DNS, est que la communication est invisible et sécurisée. Le pirate exploite donc une technique conçue pour protéger les internautes afin de rendre son logiciel malveillant encore plus dur à détecter.

La plupart des navigateurs web, et tous les serveurs DNS de Google, sont déjà compatibles avec DoH.

La communauté de cybersécurité craint donc que les logiciels malveillants exploitent de plus en plus DoH à des fins malicieuses.

On se souviendra que le protocole DoH a été adopté malgré une forte opposition, en particulier de créateurs du protocol DNS, qui lui préfèrent DoT – DNS over TCP/IP, parce que DNS fait partie de la couche de contrôle, et non de la couche de données.

Paul Vixie n’avait pas hésité à écrire à propos de DoH:

« Les fous ont pris le contrôle de l’asile » et

« RFC8484 va retourner en arrière la sécurité d’internet de décennies.»