ChamelDoH 的独特之处在于其使用 DoH 的新颖通信方法，用于通过 HTTPS 协议执行域名系统 (DNS) 解析，向流氓域名服务器发送DNS TXT 请求。

Stairwell 研究员 Daniel Mayer 说：“由于这些 DoH 提供商通常使用 DNS 服务器 [即 Cloudflare 和谷歌] 来处理合法流量，因此他们不容易在企业范围内被阻止。”

使用 DoH 进行命令和控制 (C2) 还为威胁行为者提供了额外的好处，因为由于使用 HTTPS，请求无法通过中间人攻击 (AitM) 拦截协议。

这也意味着安全解决方案无法识别和禁止恶意 DoH 请求并切断通信，从而将其转变为受感染主机和 C2 服务器之间的加密通道。

“这种策略的结果类似于通过域前端进行的 C2，其中流量被发送到托管在 CDN 上的合法服务，但通过请求的主机标头重定向到 C2 服务器——检测和预防都很困难，”Mayer 解释说。

这家总部位于加利福尼亚的网络安全公司表示，它在 VirusTotal 上共检测到 10 个 ChamelDoH 样本，其中一个样本于 2022 年 12 月 14 日上传回来。

最新的调查结果表明，“该组织还投入了大量时间和精力来研究和开发同样强大的 Linux 入侵工具集，”Mayer 说。

参考：

• https://thehackernews.com/2023/06/chameldoh-new-linux-backdoor-utilizing.html

• https://www.cloudflare.com/zh-cn/learning/dns/dns-records/dns-txt-record/
  

• https://stairwell.com/news/chamelgang-and-chameldoh-a-dns-over-https-implant/