当前位置：首页 > news >正文

观成科技：利用DoH加密信道的C2流量分析

news 来源：原创 2025/9/21 5:32:31

概述

DoH（DNS over HTTPS）是一种通过HTTPS协议加密传输DNS查询的信道，将DNS请求封装在HTTP/2或HTTP/3中，DoH没有标准端口，部分服务沿用TLS的443端口。传统DNS明文传输易被拦截或篡改，而DoH通过加密提升了隐私性和安全性。部分木马C2服务器可通过DoH信道，将恶意通信流量伪装成普通HTTPS流量，能有效规避防火墙和IDS检测，增加了检测难度，同时利用公共DoH解析器（如Google、Cloudflare），可进一步降低暴露风险。本文通过使用CobaltStrike配置相关插件，使木马和C2通信时，使用DoH信道进行通信，通过分析通信流量行为特征，结合正常使用时DoH的流量特征，对DoH恶意流量进行检测。

木马上线流程

DoH信道C2通信

木马beacon中需配置公共DoH服务，本文中使用doh.pub公共DoH，上线流程同CS DNS信道相似。上图中C2信道使用双向虚线箭头标识。

受害机执行木马文件，木马首先会发送一条明文dns A类查询，获取doh.pub域名对应ip。
木马向公共doh.pub发送恶意域名查询，查询内容使用https加密，对应端口443，查询发送到公共DoH服务器后，DoH服务器进行递归查询，最终查询到配置的C2服务器中，C2服务器收到请求后，进行查询响应，木马完成上线。
受害机上线后，会持续发送心跳包，等待接收C2指令，整个过程可以很好的隐藏C2服务器位置，从受害机抓包查看木马通信流量，看到的仅是，木马同公共DoH服务的加密通信，流量中涉及到的域名为公共DoH域名，恶意域名被很好的隐藏在了https加密流量中。

指令和流量分析

通过对TLS流量进行解密，详细分析，指令内容对应流量，从而总结行为特征。

木马上线后，如果没有指令下发，受害主机会一直向外发送DNS请求，域名前缀为长度为8的加密字符（每次上线时，长度会发生变化），查询类型为A查询，该查询数据中，不包含主机信息，C2接收到该心跳后，响应结果为0.0.0.0，如果有任务需要执行，会响应0.0.0.242或0.0.0.243，受害主机收到0.0.0.243响应后，会发送以api为前缀，查询类型为A的域名查询，C2服务器会返回以0.0.0开头的ip标识任务类型，之后会再发起一个以api为前缀，查询类型为txt的域名查询，来获取任务。

图一心跳包

攻击者下发第一条执行命令后，受害主机在执行指令前，会先将受害主机信息进行加密，拼接到域名前缀中发送到C2服务器，该查询请求中，最后一个域名前缀为www，默认配置下，www前缀的查询域名中，包含有受害主机的主机信息，查询响应均为0.0.0.0

图二包含主机信息

攻击者下发shell指令whoami，受害主机会发送以api为前缀，查询类型为TXT的域名查询，查询结果即为待执行的任务，拿到任务后进行执行，执行获取到的结果加密后，拼接到前缀为post的域名中，通过A类查询，将结果发送到C2服务器。

图三执行shell命令

攻击者如果向受害主机上传文件，在流量中会看到频繁的域名查询，查询前缀为api，查询类型为txt；攻击者如果从受害主机中拖取文件，在流量中也可看到频繁的域名查询，查询前缀为post，查询类型为A，因为dns隧道可携带的数据量较小，从受害主机中拖取文件，会持续非常长时间，在拖取过程中，受害主机会持续发送post前缀的域名查询。

虽然整个通信过程采用https加密通信，但通过对不同行为进行分析，可以发现特殊的指令执行和心跳流量等系列行为在加密后，所对应的长度变化模式不变，例如，心跳包中，DoH查询对应两个包，长度是相对固定的值周期重复，查询响应长度也是周期重复的固定值，每一组查询和响应的时间间隔呈现心跳特征，默认为1分钟1次，不过，心跳间隔攻击者可以修改。

图四加密心跳包

工具检测

目前，观成瞰云-加密威胁智能检测系统已经支持对使用该DoH信道的远程控制木马进行有效检出，检测告警见下图。

图五告警详情

总结

通过对cs木马使用DoH信道通信的研究，发现使用该信道虽然可以很好的对通信流量进行加密，且不直接同C2服务器通信，但同C2通信的多种行为模式没有发生变化，在加密流量中，可以进行识别。这仅为一类通过DoH信道进行木马回连的例子，后续观成科技安全研究团队将持续跟踪木马利用DNS over HTTPS信道通信的动态，并积极研究更新检测手段，检测此类网络攻击。

相关文章：