Nicht nur rechtschaffene Nutzer, sondern auch Malware-Schreiber sind mittlerweile auf die Idee gekommen, ihre DNS-Anfragen mit DNS over HTTPS (DoH) vor neugierigen Blicken zu verbergen. Der DDoS-Schadcode Godlua nutzt dieses noch recht neue Verschlüsselungs-Protokoll dazu, seine Anfragen an den zugehörigen Kommando-Server zu verbergen. Da Godlua denselben Port wie regulärer HTTPS-Traffic nutzt, entgeht die Malware-Kommunikation momentan wohl auch der Entdeckung vieler Firewall-Systeme.

Die bei Godlua eingesetzte Programmiersprache Lua wird sonst eher in der Embedded Entwicklung oder als Skriptsprache in der Videospiele-Entwicklung verwendet. In diesem Fall nutzen Hacker die Sprache jedoch dafür, einen Bot zu programmieren, der auf Linux-Servern läuft und von dort aus versucht, andere Webseiten per DDoS-Angriff zu blockieren.

Die meisten Anbieter von Schutzsoftware seien auf DNS over HTTPS als Kommunikationskanal bei Malware nicht vorbereitet. Laut Befürchtungen einiger Sicherheitsforscher bleiben mehr Angriffe länger unentdeckt, da Beobachter DNS-Anfragen an bekannte bösartige Domains, die über DoH abgewickelt werden, nicht mehr einsehen können.

Im Endeffekt wird allerdings nur ein Wettlauf beider Seiten beobachtet: Während auf der einen Seite immer neue Wege gefunden werden Angriffe zu verstecken, werden diese auf der Anderen früher oder später aufgedeckt und verhindert.

(jb, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE