Forladte domæner genvundet for at afsløre 4.000 skjulte bagdøre på kompromitterede systemer

Cyberkriminelle udnytter ofte bagdøre – skjulte gateways designet til at omgå traditionelle sikkerhedsforanstaltninger – for at bevare adgangen til kompromitterede systemer. I en overraskende drejning har cybersikkerhedsforskere demonstreret, hvordan forladt infrastruktur, såsom udløbne domæner, kan genvindes for at kapre disse bagdøre, hvilket effektivt vender bordet mod angribere.

WatchTowr Labs afslørede for nylig, at de formåede at få kontrol over 4.000 unikke web-bagdøre ved at købe mere end 40 udløbne domænenavne for så lidt som $20 hver. Dette initiativ fremhæver både farerne ved forladt digital infrastruktur og mulighederne for at forstyrre ondsindet aktivitet.

Hvordan udløbne domæner blev en gateway

De pågældende bagdøre, mange implementeret via web-shells, var afhængige af specifikke domænenavne til kommando-og-kontrol (C2) kommunikation. Da disse domæner udløb eller blev forladt af deres oprindelige ejere, erhvervede WatchTowr Labs dem og omdirigerede trafikken til deres servere, hvilket effektivt "sinkholing" den ondsindede infrastruktur.

Dette gjorde det muligt for forskere at:

  1. Overvåg beaconing-aktivitet : Kompromitterede værter "rapporterede" til de nyligt kontrollerede domæner.
  2. Kortlæg omfanget af kompromiset : Identifikation af tusindvis af berørte systemer, herunder regerings- og akademiske enheder.
  3. Hypotetisk styring af systemerne : Teoretisk set kunne de have taget fuld kontrol over de kompromitterede værter, selvom etiske protokoller forhindrede sådanne handlinger.

Ofrene for kaprede bagdøre

Blandt de identificerede kompromitterede systemer var:

  • Regeringsenheder i Bangladesh, Kina og Nigeria .
  • Akademiske institutioner i Kina, Sydkorea og Thailand .

Dette udbredte kompromis understreger den globale rækkevidde af sådanne bagdørskampagner og de alvorlige konsekvenser af at forlade kritisk digital infrastruktur uvedligeholdt.

Web Shell Arsenal

Bagdørene varierede i kompleksitet og funktionalitet. Nogle af de mest bemærkelsesværdige web-skaller, der blev observeret, inkluderede:

  • Simple PHP Web Shells : I stand til at udføre enkelte kommandoer leveret af angribere.
  • c99shell og r57shell : Avancerede værktøjer til udførelse af vilkårlige kommandoer, filoperationer og implementering af yderligere nyttelast. De inkluderede endda funktioner til brute-force FTP-servere eller selvfjernelse efter brug.
  • China Chopper : Et let, men alligevel kraftfuldt værktøj, der foretrækkes af avancerede persistent trussel-grupper (APT), især dem, der er knyttet til Kina.

Udnyttelse af bagdøre inde bagdøre

Interessant nok opdagede WatchTowr Labs også tilfælde, hvor selve web-skallerne var blevet bagdøre af deres skabere. Disse modifikationer lækkede utilsigtet information om deres placeringer, hvilket tillod yderligere trusselsaktører at overtage kontrollen over de kompromitterede systemer.

Risikoen ved forladte domæner

Dette er ikke første gang, WatchTowr Labs har demonstreret de potentielle risici ved forladt infrastruktur. Tidligere købte virksomheden et ældre WHOIS-serverdomæne til .mobi-topniveaudomænet (TLD). På trods af migreringen til en ny server fortsatte over 135.000 unikke systemer med at kommunikere med det gamle domæne, hvilket afslørede følsomme systemer, der tilhører private virksomheder, statslige agenturer og militære organisationer verden over.

Angribere laver også fejl

Succesen med denne operation tjener som en skarp påmindelse om, at cyberkriminelle ikke er ufejlbarlige. Udløbne domæner, uoprettede sårbarheder og dårligt vedligeholdte systemer er sårbarheder, der kan påvirke både angribere og forsvarere.

Nøgletilbud til cybersikkerhed

  1. Overvåg og forny kritiske domæner : Organisationer skal bevare kontrol over domæner, der er forbundet med kritiske systemer, for at forhindre misbrug.
  2. Revision af ældre infrastruktur : Sørg for, at gamle systemer, domæner og tjenester enten nedlægges sikkert eller migreres korrekt.
  3. Sinkholing som en defensiv strategi : Etisk forskning og sinkholing-initiativer kan hjælpe med at afbøde igangværende trusler fra forladt ondsindet infrastruktur.
  4. Patch og sikre bagdøre : Angribere genbruger ofte de samme værktøjer. Opdag og neutraliser web-skaller for at forhindre efterfølgende udnyttelse.

Konklusion

Kapringen af 4.000 bagdøre gennem udløbne domæner afslører både vedvarende trusler og de kreative løsninger, der er tilgængelige for cybersikkerhedsprofessionelle. Mens operationen fremhæver en kritisk sårbarhed i det digitale økosystem, demonstrerer den også potentialet til at forstyrre ondsindede kampagner gennem strategiske modforanstaltninger.

Organisationer skal prioritere proaktiv infrastrukturforvaltning og forblive på vagt for at undgå at blive ofre for deres eget tilsyn. I kampen mod cyberkriminalitet kan selv forladte aktiver holde nøglen til at genvinde kontrollen.

I Zane
January 14, 2025
Computer Security
Dansk
January 14, 2025
Computer Security

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.