DNS over HTTPS (DoH)：技術概述與安全意涵

DNS over HTTPS (DoH) 是一種旨在增強 DNS 解析的隱私和安全性的協定，其方法是將 DNS 查詢和回應加密，並透過 HTTPS 協定傳輸 11 。這與傳統 DNS 不同，後者透過 UDP 以明文傳輸查詢，容易受到攔截和操縱 12 。DoH 在標準 HTTPS 連接埠 443 上運作 11 ，使得 DNS 流量能夠與一般的網路瀏覽活動混合，更難以從合法的 HTTPS 流量中區分出來。在某些情況下，這可以幫助使用者繞過網路限制和審查 13 。

透過加密 DNS 查詢，DoH 主要目的在防止 ISP 和其他第三方竊聽，保護使用者的瀏覽歷史並增強隱私 11 。它還提供安全優勢，例如防止 DNS 詐騙和中間人攻擊，方法是確保 DNS 回應的完整性和真實性 11 。然而，DoH 提供的加密也為網路安全帶來了挑戰。它可能會隱藏惡意活動，例如惡意軟體與命令與控制伺服器的通訊，使得傳統基於 DNS 的安全監控效果降低 11 。在瀏覽器或作業系統中啟用 DoH 可能會繞過企業 DNS 策略和安全控制，導致 DNS 防火牆失效，並且無法監控或過濾 DNS 流量 11 。DoH 依賴外部提供者（如 Cloudflare 或 Google Public DNS）進行 DNS 解析，這可能會引起人們對 DNS 流量集中化以及這些提供者是否會記錄或出售使用者資料的潛在隱私問題的擔憂 13 。雖然 DoH 越來越受到現代瀏覽器和作業系統的支援 11 ，但其在所有網路環境中的採用和相容性可能會有所不同。

功能	傳統 DNS (UDP)	DNS over HTTPS (DoH)
協定	DNS (UDP)	HTTPS
連接埠	53	443
加密	無	TLS/SSL
隱私權影響	容易被竊聽	增強隱私
安全性影響	容易被竄改	防止 DNS 詐騙和 MITM
對網路監控的影響	可見	可能隱藏惡意流量

DoH 最根本的矛盾在於透過加密增強使用者隱私與網路可見性降低（進而影響安全監控和威脅偵測）之間的權衡。雖然加密 DNS 查詢可以保護使用者免受竊聽，但它同時也模糊了潛在的惡意 DNS 流量，這對依賴檢查 DNS 來發現威脅的安全團隊來說是一個挑戰。這需要開發新的安全工具和技術，以便在不損害使用者隱私的情況下分析 DoH 流量。主要瀏覽器和作業系統廣泛採用 DoH，這代表 DNS 解析實務發生了重大轉變，需要組織調整其安全策略以維持對其網路流量的控制。隨著越來越多的使用者和應用程式預設啟用 DoH，傳統的 DNS 過濾和監控方法變得不太有效。組織需要考慮實施內部 DoH 解析程式或使用可以攔截和檢查 DoH 流量以強制執行策略和偵測威脅的安全解決方案。DoH 使用標準 HTTPS 連接埠 443，雖然有助於繞過網路限制，但也使威脅偵測變得複雜，因為惡意 DNS 流量在網路層級上與合法的網路流量難以區分。安全解決方案需要超越簡單的基於連接埠的分析，並採用更複雜的方法，例如深度封包檢測和行為分析，以識別加密 HTTPS 流量中可能指示惡意 DoH 使用的可疑模式。

DNS MX 記錄：目的、結構與潛在的濫用

郵件交換 (MX) 記錄是網域名稱系統 (DNS) 中一種重要的資源記錄類型，它指定負責代表特定網域名稱接收電子郵件訊息的郵件伺服器 9 。它們本質上告訴寄件伺服器如何將發往特定網域的電子郵件路由。一個網域可以配置多個 MX 記錄，每個記錄都有一個優先值 31 。優先順序號碼表示郵件伺服器應該嘗試傳遞電子郵件的順序；較低的數字表示較高的優先順序（更受偏好）。這允許電子郵件基礎架構中的Load Balancing和Redundancy。

當電子郵件從一個網域傳送到另一個網域時，傳送郵件傳輸代理程式 (MTA) 會查詢收件人網域的 DNS 伺服器以取出 MX 記錄 31 。然後，MTA 會嘗試與 MX 記錄中列出的郵件伺服器建立 SMTP 連線，從優先順序最高的伺服器（優先順序號碼最低）開始。MX 記錄指向郵件伺服器的完整網域名稱 (FQDN) 或主機名稱（A 或 AAAA 記錄），而不是直接指向 IP 位址 30 。這允許在管理郵件伺服器 IP 位址時具有彈性。MX 記錄是 DNS 中公開可存取的資訊，可以使用標準 DNS 查詢工具（如 nslookup、dig）或各種線上 MX 記錄查詢服務進行查詢 37 。攻擊者可以利用 MX 記錄的公開性質來收集目標網域的電子郵件基礎架構的資訊，這些資訊可用於在發起更具針對性的攻擊之前進行偵察 36 。傳統上，網路攻擊中對 MX 記錄的濫用通常涉及 MX 記錄詐騙，攻擊者修改網域的 MX 記錄以將傳入的電子郵件重新導向到他們控制的郵件伺服器，從而允許他們攔截敏感資訊 36 。因此，監控 MX 記錄是否有未經授權的變更是一項重要的安全措施 36 。網域遭到入侵也可能導致在網路釣魚或垃圾郵件活動中操縱 MX 記錄 10 。

MX 記錄的基本用途是公開識別電子郵件伺服器，這使得它成為惡意行為者尋求了解或中斷電子郵件通訊的潛在目標。雖然 MX 記錄對於電子郵件功能至關重要，但其公開性質意味著攻擊者可以輕易識別負責處理網域電子郵件的基礎架構，這可以為他們的攻擊策略提供資訊，例如針對特定的郵件伺服器漏洞或製作看似來自合法郵件伺服器的網路釣魚電子郵件。傳統上對 MX 記錄濫用的關注點在於攔截電子郵件流，這突顯了 Infobox 文章中描述的技術的新穎性，其中 MX 記錄用於用戶端查詢以動態客製化網路釣魚內容。這種新方法不是操縱電子郵件的路由，而是使用 MX 記錄作為觸發器，根據受害者的電子郵件提供者來客製化網路釣魚登入頁面。這展示了 DNS 記錄如何被用於社交工程目的的演變。MX 記錄在確保可靠的電子郵件傳遞方面扮演著關鍵角色，這意味著旨在防止濫用的安全措施必須謹慎實施，以避免中斷合法的電子郵件服務。雖然監控對 MX 記錄未經授權的更改至關重要，但隨意阻止 MX 記錄查詢或竄改合法的 MX 記錄可能會導致嚴重的通訊中斷。安全解決方案需要足夠智慧，才能區分合法和惡意使用 MX 記錄資訊。

網路釣魚攻擊的技術分析：利用 DoH 與 DNS MX 記錄

攻擊始於散佈大量垃圾郵件，這些郵件通常使用偽造的寄件人名稱和電子郵件地址，並利用恐嚇策略製造緊急感，誘使收件人點擊嵌入的惡意連結 9 。連結會將受害者重新導向至網路釣魚登入頁面。這種重新導向通常涉及利用遭到入侵的 WordPress 網站、免費網路託管服務上的詐欺帳戶（例如 pages[.]dev、netlify[.]app）、利用廣告技術基礎架構上的開放重新導向漏洞（例如使用諸如 ad[.]doubleclick[.]net/clk;...;pc=%5BTPAS_ID%5D?//{phishing_url} 之類的 URL），或使用攻擊者專門建立的網域 9 。

為了規避安全系統和研究人員的偵測，攻擊者採用了幾種技術，包括使用熱門且信譽良好的網域（如廣告技術基礎架構）進行重新導向、禁用常見的瀏覽器功能（右鍵點擊、儲存網頁、檢視原始碼）以阻礙分析、混淆和膨脹網路釣魚工具包的程式碼（通常使用諸如 atob()、String.fromCharCode() 之類的 JavaScript 函數和線上混淆器）、將直接存取網路釣魚 URL 的使用者重新導向至電子郵件服務提供者的合法登入頁面，以及在偽造頁面上兩次輸入錯誤的登入嘗試後將受害者重新導向至真實網站 9 。

核心技術： 當受害者點擊惡意連結時，網路釣魚工具包（透過 JavaScript 在受害者的瀏覽器中執行）會查詢受害者電子郵件網域的 DNS MX 記錄。這個關鍵步驟是使用公共 DNS over HTTPS (DoH) 解析程式（如 Cloudflare DoH 或 Google Public DNS）執行的，有效地將 DNS 解析過程外包給受害者的機器並加密查詢 9 。然後，網路釣魚工具包會使用自訂字典或映射，將取出到的 MX 記錄名稱（特別是二級網域）與對應的網路釣魚 HTML 範本相關聯。攻擊者擁有至少 114 個獨特的電子郵件品牌和登入設計的庫，可以進行高度針對性的模仿 9 。如果此字典中無法識別 MX 記錄，工具包通常會預設為通用的「Webmail」或 Roundcube 登入頁面 9 。偽造登入頁面上的使用者名稱欄位通常會自動預先填入受害者的電子郵件地址，該地址可能是從初始連結或其他方式提取的 9 。

一旦受害者在偽造的登入頁面上輸入其認證，竊取的資訊就會透過各種方法收集，包括使用諸如 EmailJS 之類的用戶端 JavaScript 庫透過電子郵件傳送認證、使用託管在同一被入侵網站上的 PHP Script、透過 AJAX 請求遠端傳輸資料到外部伺服器，或使用 Web API Hook 與文字通道（如 Telegram）通訊 9 。網路釣魚平台還可能提供額外功能，例如根據受害者的瀏覽器設定將網路釣魚內容動態翻譯成多種語言，從而實現全球目標 9 。

DoH 在規避偵測和客製化攻擊中的作用： DNS over HTTPS (DoH) 的使用對於規避至關重要，因為它加密了用於取出受害者電子郵件網域 MX 記錄的 DNS 查詢 9 。這種加密阻止了檢查傳統明文 DNS 流量的基於網路的安全監控工具在提供網路釣魚頁面之前輕易識別目標電子郵件服務提供者。透過隱藏此偵察步驟，攻擊者可以避免基於對已知電子郵件提供者網域的查詢觸發警報。使用公共 DoH 解析程式（如 Cloudflare 或 Google Public DNS）執行 DNS MX 記錄查詢，將 DNS 解析的計算負擔轉移到受害者的瀏覽器 9 。這種用戶端操作使得傳統的伺服器端安全設備更難以攔截和分析此特定的 DNS 查詢。此外，使用知名且信譽良好的 DoH 解析程式可以進一步幫助流量與合法的網路活動混合。

利用 DNS MX 記錄針對性提供網路釣魚頁面： DNS MX 記錄是受害者電子郵件服務提供者的高度可靠的指標 9 。透過查詢此記錄，網路釣魚工具包可以準確判斷受害者可能使用的電子郵件品牌。然後，此資訊用於從攻擊者廣泛的程式庫中選擇並提供高度逼真且客製化的偽造登入頁面。與非特定於受害者電子郵件提供者的通用網路釣魚頁面相比，這種針對性的方法顯著提高了認證竊取的成功率 9 。受害者更有可能信任並與看起來非常像他們自己電子郵件服務提供的登入頁面互動。擁有超過 100 個獨特電子郵件品牌設計的大型程式庫，表明在創建令人信服且有效的網路釣魚活動方面投入了大量精力 9 。

濫用方法	技術描述
傳統 MX 記錄詐騙	修改網域的 MX 記錄，將電子郵件重新導向至攻擊者控制的伺服器以攔截資訊。
利用 MX 記錄進行偵察	攻擊者查詢目標網域的 MX 記錄以識別郵件基礎架構，為後續攻擊（如針對特定郵件伺服器的攻擊或製作看似來自合法郵件伺服器的網路釣魚郵件）提供資訊。
動態內容提供 (本案例)	使用 JavaScript 和公共 DoH 解析程式查詢受害者電子郵件網域的 MX 記錄。然後，根據取出到的 MX 記錄，從預先建立的程式庫中載入對應的客製化網路釣魚 HTML 範本。

網路協定與技術細節： 攻擊的初始階段依賴標準網路協定，主要是 HTTP 和 HTTPS，用於傳送垃圾郵件並將受害者重新導向至網路釣魚登入頁面 9 。利用廣告技術平台上的開放重新導向漏洞也使用 HTTP/HTTPS。新穎技術的核心涉及透過 HTTPS 使用連接埠 443 上的公共 DoH 解析程式執行 MX 記錄的 DNS 查詢 11 。這確保了 DNS 流量被加密並與其他 HTTPS 流量混合。雖然 MX 記錄本身與簡單郵件傳輸協定 (SMTP) 相關，SMTP 是電子郵件傳遞的基礎，但攻擊並未直接操縱 SMTP。相反，它使用透過 DNS 獲得的 MX 記錄資訊來客製化呈現給受害者的網路釣魚頁面。JavaScript 在網路釣魚工具包中扮演著至關重要的角色，它啟用了用戶端執行 DoH 查詢以及根據 MX 記錄回應動態載入適當的 HTML 範本 9 。利用廣告技術平台上的開放重新導向通常涉及特定的 URL 結構，例如 DoubleClick 的範例 (ad[.]doubleclick[.]net/clk;...;pc=%5BTPAS_ID%5D?//{phishing_url})，這些結構旨在將使用者重新導向至在 {phishing_url} 參數中指定的任意 URL，同時利用廣告網路網域的信任聲譽 9 。竊取認證的資料外洩可以透過各種應用程式層協定和技術進行，包括透過 HTTP POST 請求 (AJAX) 傳送資料、利用 JavaScript 庫或 PHP Script透過電子郵件傳送資料，或透過 HTTPS 與外部 API（如 Telegram 的機器人 API）互動 9 。

結合 DoH 與 DNS MX 記錄濫用於網路釣魚的新穎性

雖然根據受害者資訊的某些方面客製化網路釣魚登入頁面的概念並非全新，但以大規模和高度自動化的方式結合使用透過 DNS over HTTPS (DoH) 查詢的 DNS 郵件交換 (MX) 記錄來實現這一點，似乎是一種相對新穎的技術 23 。傳統的網路釣魚即服務 (PaaS) 平台通常依賴更簡單的目標鎖定方法，例如使用外觀相似的網域或提供靜態網路釣魚頁面 44 。Infobox 文章中識別的「Morphing Meerkat」平台因其複雜地使用 DoH 進行規避以及使用 MX 記錄進行動態內容提供而脫穎而出 23 。這種方法為攻擊者提供了幾個優勢，包括能夠維持惡意頁面的更高運行時間，因為內容是動態生成的，並且降低了依賴識別和阻止特定網路釣魚網域或 IP 位址的傳統黑名單技術的有效性 44 。

新穎性在於 DoH 的協同組合，它在偵察階段（MX 記錄查詢）提供了一定程度的匿名性並阻礙了基於網路的偵測，以及 MX 記錄，它充當精確的識別符以客製化網路釣魚內容。透過使用 DoH 查詢 MX 記錄，攻擊者可以有效地收集有關受害者電子郵件提供者的情報，而不會輕易被網路安全工具偵測到。然後，此資訊用於傳送高度逼真且有針對性的網路釣魚頁面，顯著提高了成功的機率。這種技術代表了向更智慧和適應性更強的網路釣魚攻擊的轉變，這些攻擊更難以使用傳統的靜態安全措施來防禦。由於網路釣魚內容的動態特性，它會根據受害者的 MX 記錄而變化，這使得基於特徵碼的偵測系統難以識別和阻止這些攻擊。安全解決方案需要整合更多的行為和情境分析來偵測這種複雜的策略。將此類先進技術納入 PaaS 平台降低了技術不太熟練的網路犯罪分子發起高度有效和規避性網路釣魚活動的門檻。隨著這些複雜的工具變得更容易獲得，整體威脅形勢可能會變得更具挑戰性，此類攻擊的頻率和成功率可能會增加。這突顯了網路安全防禦需要不斷創新，以領先於這些不斷演變的威脅。

針對此類攻擊的防禦與緩解策略：技術觀點

實施強大的 DNS 安全措施對於防禦此類攻擊至關重要 9 。這包括考慮阻止與已知公共 DoH 伺服器通訊的策略 9 ，儘管這需要與對合法隱私增強技術的潛在影響相平衡。限制使用者存取非必要的廣告技術和檔案共享基礎架構可以幫助限制用於初始重新導向至網路釣魚網站的路徑 9 。組織應仔細評估其對這些服務的依賴性並實施嚴格的存取控制。安全團隊應主動監控 DNS 請求中的異常情況，特別是那些與源自不尋常來源或指向意外解析程式的 MX 記錄查詢相關的異常情況 44 。深入的 DNS 日誌記錄和分析能力對此至關重要 44 。主動監控公司品牌是否存在潛在的詐騙行為，包括尋找與組織網域相關的 MX 記錄配置中的異常情況，有助於偵測和回應可能冒充該組織的攻擊 44 。使用 DMARC、DKIM 和 SPF 強制執行嚴格的電子郵件驗證策略，可以透過驗證寄件者的合法性，幫助限制網路釣魚電子郵件成功到達使用者收件匣的可能性 44 。針對員工進行定期和適應性的網路釣魚培訓，模擬真實世界的策略（包括涉及動態內容的策略），對於提高意識和改進使用者識別和報告可疑電子郵件的能力至關重要 2 。

從技術角度來看，組織可以考慮實施自己的支援 DoH 的內部 DNS 解析程式，或利用提供對加密 DNS 流量的可見性和控制的託管 DNS 安全服務 12 。這些解決方案可能可以解密和檢查 DoH 流量中的惡意活動。實施具有過濾和阻止對已知惡意網域和未經授權的外部 DNS 伺服器的 DNS 查詢的功能的 DNS 安全解決方案，有助於防止攻擊的初始階段或資料外洩 24 。分析網路流量模式中指示網路釣魚活動的跡象，即使在加密的 HTTPS 通道中也是如此，可能是有益的。這可能涉及尋找與已知網路釣魚基礎架構或 DoH 解析程式的不尋常連線模式或流量。利用提供有關已知網路釣魚活動、相關網域和基礎架構（包括與 DoH 濫用相關的網域和基礎架構）資訊的威脅情報來源，可以幫助組織主動阻止和偵測這些威脅 10 。採用具有反網路釣魚和行為分析等功能的端點安全解決方案，可以幫助偵測和阻止使用者瀏覽器中的惡意 Script和行為，即使初始電子郵件和重新導向嘗試成功也是如此 11 。

防禦類別	具體策略/技術	技術細節/實施注意事項
網路控制	阻止與已知公共 DoH 伺服器的通訊	維護已知 DoH 伺服器的最新列表；謹慎實施以避免影響合法使用。
網路控制	限制存取非必要的廣告技術和檔案共享基礎架構	實施嚴格的存取控制策略；定期審查和更新。
DNS 安全	監控 DNS 請求中的異常情況	部署深入的 DNS 日誌記錄和分析工具；建立異常行為的基準線。
DNS 安全	實施內部或託管的 DoH 解析程式	允許組織檢查和控制加密的 DNS 流量。
DNS 安全	過濾和阻止惡意 DNS 查詢	使用威脅情報饋送來識別和阻止已知的惡意網域和解析程式。
電子郵件安全	強制執行 DMARC、DKIM 和 SPF	正確配置 DNS 記錄以驗證電子郵件寄件者。
端點安全	部署反網路釣魚和行為分析解決方案	偵測並阻止瀏覽器中的惡意 Script和行為。
使用者教育	定期進行適應性網路釣魚培訓	模擬真實世界的攻擊，包括動態內容。

DoH 與 DNS MX 記錄濫用於網路攻擊的案例研究與研究

Infobox 文章中詳述的「Morphing Meerkat」活動是結合使用 DoH 和 DNS MX 記錄濫用於網路釣魚的主要案例研究 9 。此活動展示了這種技術在現實世界中的應用和有效性。研究越來越多地關注惡意軟體使用 DoH 進行命令與控制 (C2) 通訊的情況。例如，Godlua 後門程式是最早使用 DoH 進行隱蔽通訊的惡意軟體之一 11 ，而 ChamelDoH 是一種也利用 DoH 進行 C2 的 Linux 惡意軟體 11 。這些案例突顯了惡意行為者利用 DoH 進行規避的更廣泛趨勢。

幾篇研究論文探討了 DoH 的安全隱患，並討論了偵測惡意 DoH 隧道和濫用的各種技術 17 。這些研究通常側重於分析網路流量模式、封包特徵以及使用機器學習演算法來識別異常的 DoH 活動。傳統的 DNS 劫持和詐騙攻擊中，攻擊者控制 DNS 解析以將使用者重新導向至惡意網站，這些攻擊已被廣泛記錄 10 。雖然這些攻擊並不總是像所描述的網路釣魚技術那樣涉及 DoH 或 MX 記錄操縱，但它們說明了 DNS 濫用的更廣泛威脅形勢。也有關於過期或遭入侵的網域被用於透過控制 MX 記錄來攔截電子郵件的案例報告 46 。這些事件突顯了正確網域管理和 MX 記錄監控的重要性。資料外洩技術（攻擊者使用 DNS 查詢將資料從遭入侵的網路中偷偷傳輸出去）展示了 DNS 作為隱蔽通訊通道的多功能性 50 。雖然這與網路釣魚內容客製化沒有直接關係，但它表明攻擊者可以濫用 DNS 達到各種惡意目的。涉及在 DNS 記錄中使用萬用字元將流量路由至詐欺內容的萬用字元 DNS 攻擊，代表了另一種與網路釣魚相關的 DNS 濫用方法 54 。網域陰影攻擊（攻擊者入侵網域控制並建立惡意的子網域以進行網路釣魚或惡意軟體散佈）是另一個利用 DNS 進行惡意意圖的例子 45 。

「Morphing Meerkat」活動是一個重要的案例研究，展示了將 DoH 用於規避與 DNS MX 記錄查詢相結合以實現高度針對性網路釣魚的實際應用和潛在影響。這個真實世界的例子突顯了網路安全專業人員需要了解並準備應對這種先進且不斷演變的網路釣魚技術。它也突顯了利用看似良性的協定（如 DNS）達到惡意目的的有效性。越來越多的研究和記錄在案的惡意軟體使用 DoH 進行 C2 通訊的案例表明，攻擊者採用加密 DNS 來規避傳統安全控制的趨勢正在擴大。這種趨勢表明，DoH 所帶來的安全挑戰不僅限於網路釣魚，還延伸到各種惡意軟體和網路攻擊類型。它強調了需要全面的策略來偵測和緩解加密 DNS 流量中的惡意活動。雖然已經對各種形式的 DNS 濫用進行了研究，但將基於 DoH 的 MX 記錄查詢用於動態和有針對性的網路釣魚內容的特定組合似乎是一種相對較新的創新。這表明威脅形勢不斷演變，網路安全研究人員和從業者需要保持警惕，並調整他們對這些新興技術的理解和防禦。有必要對這種特定攻擊媒介的偵測和緩解進行進一步研究。

結論：基於 DNS 的網路釣魚的新興趨勢與未來安全考量

所分析的網路釣魚攻擊展示了一種複雜的技術，該技術利用 DNS over HTTPS (DoH) 的隱私功能，在偵察階段規避基於網路的偵測。在該階段，透過查詢 DNS MX 記錄來識別受害者的電子郵件服務提供者。然後，此資訊用於從包含 100 多個品牌的庫中動態提供高度針對性和令人信服的網路釣魚登入頁面。該攻擊突顯了網路犯罪分子在利用核心網際網路協定達到惡意目的方面的日益聰明。

從此分析中浮現出幾個關鍵趨勢。首先，網路釣魚攻擊變得越來越複雜，從一般的誘餌轉向高度個人化和情境感知的活動。其次，威脅者正在策略性地利用 DNS（一種基礎網際網路協定）來進行攻擊的各個階段，包括偵察、命令與控制和資料外洩。第三，加密協定（如 DoH）的採用雖然對使用者隱私有利，但由於會模糊惡意流量並可能繞過傳統安全控制，因此為網路安全帶來了新的挑戰。

為了有效應對這些新興威脅，幾個安全考量至關重要。需要不斷進行研究和開發，以創建先進的偵測和緩解技術，這些技術可以識別加密 DNS 流量中的惡意活動。主動的威脅情報，重點在於識別新的攻擊方法和相關基礎架構，對於領先於不斷演變的威脅至關重要。全面的安全意識培訓，教育使用者了解複雜網路釣魚攻擊（包括涉及動態內容的攻擊）的風險，仍然是重要的防禦層。此外，組織需要調整其安全解決方案，以獲得對加密 DNS 流量的可見性和控制，可能透過使用內部 DoH 解析程式或專門的 DNS 安全服務。持續監控和分析 DNS 流量中不尋常的模式和異常情況，即使是那些涉及看似合法的 MX 記錄查詢的模式和異常情況，對於早期偵測和回應至關重要。

結合 DoH 與 DNS MX 記錄濫用於網路釣魚代表了攻擊技術的重大演變，突顯了在網路安全領域持續保持警惕和創新的必要性。採取主動和適應性的安全措施，包括技術控制、威脅情報和使用者教育，對於有效防禦這些日益複雜的威脅並保護敏感資訊至關重要。

Works cited

1. Phishing Emails: An Evolving Cyberattack - ODU Digital Commons, accessed March 29, 2025,
2. Evolution of Phishing Attacks | PhishingBox, accessed March 29, 2025,
3. History of Phishing, accessed March 29, 2025,
4. The History of Phishing Attacks - Cofense, accessed March 29, 2025,
5. AI vs Traditional Fraud Detection Methods: A Comparative Analysis, accessed March 29, 2025,
6. The Evolution of Phishing Attacks How Machine Learning Keeps Up - Insights2TechInfo, accessed March 29, 2025,
7. Unveiling suspicious phishing attacks: enhancing detection with an optimal feature vectorization algorithm and supervised machine learning - Frontiers, accessed March 29, 2025,
8. How Phishing Attacks Are Becoming Harder to Identify - Darktrace, accessed March 29, 2025,
9. PhaaS actor uses DoH and DNS MX to dynamically distribute phishing - Infoblox Blog, accessed March 29, 2025,
10. The Many Faces of DNS Abuse: How Threat Actors Exploit the Domain Name System, accessed March 29, 2025,
11. DNS over HTTPS (DoH): Definition, Implementation, Benefits and Risks - Heimdal Security, accessed March 29, 2025,
12. Understanding DoT and DoH (DNS over TLS vs. DNS over HTTPS) - ClouDNS Blog, accessed March 29, 2025,
13. DNS Over HTTPS (DoH): Definition, Key Benefits, and Potential Limitations - Indusface, accessed March 29, 2025,
14. What DNS over HTTPS (DoH) Is and How to Enable in Windows 10 - Netwrix Blog, accessed March 29, 2025,
15. DNS over TLS vs. DNS over HTTPS | Secure DNS | Cloudflare, accessed March 29, 2025,
16. DNS over HTTPS: security and privacy in web browsing - negg Blog, accessed March 29, 2025,
17. The Impact of Domain Name Server (DNS) over Hypertext Transfer Protocol Secure (HTTPS) on Cyber Security: Limitations, Challenges, and Detection Techniques - SciOpen, accessed March 29, 2025,
18. CMC | Free Full-Text | The Impact of Domain Name Server (DNS) over Hypertext Transfer Protocol Secure (HTTPS) on Cyber Security: Limitations, Challenges, and Detection Techniques - Tech Science Press, accessed March 29, 2025,
19. A Lightweight Double-Stage Scheme to Identify Malicious DNS over HTTPS Traffic Using a Hybrid Learning Approach - MDPI, accessed March 29, 2025,
20. DNS Over Https - FlashStart, accessed March 29, 2025,
21. DNS-over-HTTPS - DOH and Cybersecurity - Malware Patrol, accessed March 29, 2025,
22. Real-Time Analysis of Encrypted DNS Traffic for Threat Detection - Scholars' Mine, accessed March 29, 2025,
23. Hakuna magotchya! Look out for new Morphing Meerkat PhaaS platform - Field Effect, accessed March 29, 2025,
24. Zscaler DNS Security | Data Sheet, accessed March 29, 2025,
25. ChamelDoH Implant: Tunnelling or DNS-over-HTTPS (DoH)?: NEC Security Blog, accessed March 29, 2025,
26. Securing DNS over HTTPS (DoH) - Zscaler, accessed March 29, 2025,
27. DNS over HTTPS as a covert Command and Control channel - Varonis, accessed March 29, 2025,
28. Hunting for the use of DNS Over HTTPS - Stamus Networks, accessed March 29, 2025,
29. Stopping DNS-over-HTTPS (DOH) Abuse | Zscaler Blog, accessed March 29, 2025,
30. abnormalsecurity.com, accessed March 29, 2025,
31. MX record - Wikipedia, accessed March 29, 2025,
32. DNS MX Records Explained [with Examples] | Mailtrap Blog, accessed March 29, 2025,
33. What Is MX Record & Why Is It Important for a Domain? - Warmup Inbox, accessed March 29, 2025,
34. What is MX Record? The DNS record (mx) explained - IONOS, accessed March 29, 2025,
35. What Is a DNS MX Record? | How Email Communication Works - Gcore, accessed March 29, 2025,
36. What is MX Record? - Friendly Captcha, accessed March 29, 2025,
37. What is DNS MX Record and How to Check It? - EasyDMARC, accessed March 29, 2025,
38. MX Lookup - Check MX records for any domain - DNS Propagation Checker, accessed March 29, 2025,
39. MX Lookup - Check MX Records of Domain - DNS Checker, accessed March 29, 2025,
40. What is an MX Record? - Ironscales, accessed March 29, 2025,
41. answers.microsoft.com, accessed March 29, 2025,
42. MX Lookup - NsLookup, accessed March 29, 2025,
43. How do I check MX records for a domain? - Blackbaud Knowledgebase, accessed March 29, 2025,
44. 'Morphing Meerkat' spoofs 114 brands via DNS mail exchange records | SC Media, accessed March 29, 2025,
45. DNS Abuse Detection: Domain name compromise - FIRST.org, accessed March 29, 2025,
46. DNS Server Hijacking Explained: Examples & Mitigation - IONIX, accessed March 29, 2025,
47. Phishing-as-a-service operation uses DNS-over-HTTPS for evasion - Bleeping Computer, accessed March 29, 2025,
48. What Is Anti-Phishing? Techniques to Prevent Phishing - Perception Point, accessed March 29, 2025,
49. DNS Security: Fortifying Healthcare for Threats - EfficientIP, accessed March 29, 2025,
50. DNS Exfiltration Attack: What It Is and How to Prevent It - Indusface, accessed March 29, 2025,
51. What is DNS Spoofing | Cache Poisoning Attack Example | Imperva, accessed March 29, 2025,
52. DNS Hijacking: Types, Examples, Prevention | Indusface, accessed March 29, 2025,
53. The Dangers of DNS Hijacking - F5, accessed March 29, 2025,
54. Phishing with Wildcard DNS Attacks and Pharming | PhishLabs, accessed March 29, 2025,