Zurückgeforderte Domänen legen 4.000 versteckte Hintertüren in kompromittierten Systemen offen

Cyberkriminelle nutzen häufig Hintertüren – versteckte Gateways, die herkömmliche Sicherheitsmaßnahmen umgehen –, um Zugriff auf kompromittierte Systeme zu erhalten. In einer überraschenden Wendung haben Cybersicherheitsforscher gezeigt, wie verlassene Infrastrukturen wie abgelaufene Domänen zurückgewonnen werden können, um diese Hintertüren zu kapern und so den Spieß umzudrehen.

WatchTowr Labs gab kürzlich bekannt, dass es ihnen gelungen ist, die Kontrolle über 4.000 einzigartige Web-Hintertüren zu erlangen, indem sie mehr als 40 abgelaufene Domänennamen für nur 20 US-Dollar pro Stück kauften. Diese Initiative verdeutlicht sowohl die Gefahren einer verlassenen digitalen Infrastruktur als auch die Möglichkeiten, böswillige Aktivitäten zu unterbinden.

Wie abgelaufene Domains zum Einfallstor wurden

Die betreffenden Hintertüren, von denen viele über Webshells bereitgestellt wurden, stützten sich für die Command-and-Control-Kommunikation (C2) auf bestimmte Domänennamen. Als diese Domänen abliefen oder von ihren ursprünglichen Besitzern aufgegeben wurden, erwarb WatchTowr Labs sie und leitete den Datenverkehr auf ihre Server um, wodurch die bösartige Infrastruktur effektiv „ein Sinkhol“ erhielt.

Dadurch konnten die Forscher:

  1. Beaconing-Aktivität überwachen : Kompromittierte Hosts haben sich bei den neu kontrollierten Domänen „gemeldet“.
  2. Umfang der Gefährdung abbilden : Tausende von betroffenen Systemen, darunter auch staatliche und akademische Einrichtungen, identifizieren.
  3. Hypothetische Kontrolle über die Systeme : Theoretisch hätten sie die vollständige Kontrolle über die kompromittierten Hosts übernehmen können, obwohl ethische Protokolle solche Aktionen verhinderten.

Die Opfer gekaperter Hintertüren

Zu den identifizierten kompromittierten Systemen gehörten:

  • Regierungsstellen in Bangladesch, China und Nigeria .
  • Akademische Einrichtungen in China, Südkorea und Thailand .

Dieser weitverbreitete Angriff unterstreicht die globale Reichweite solcher Backdoor-Kampagnen und die schwerwiegenden Folgen, die entstehen, wenn kritische digitale Infrastrukturen unbeaufsichtigt bleiben.

Das Web Shell Arsenal

Die Backdoors unterschieden sich in Komplexität und Funktionalität. Zu den auffälligsten beobachteten Webshells gehörten:

  • Einfache PHP-Web-Shells : Können einzelne von Angreifern bereitgestellte Befehle ausführen.
  • c99shell und r57shell : Erweiterte Tools zum Ausführen beliebiger Befehle, Dateioperationen und Bereitstellen zusätzlicher Payloads. Sie enthielten sogar Funktionen zum Brute-Force-Angriff auf FTP-Server oder zur Selbstentfernung nach der Verwendung.
  • China Chopper : Ein leichtes, aber leistungsstarkes Tool, das von Advanced Persistent Threat (APT)-Gruppen bevorzugt wird, insbesondere solchen mit Verbindungen zu China.

Ausnutzen von Hintertüren innerhalb von Hintertüren

Interessanterweise entdeckten die WatchTowr Labs auch Fälle, in denen die Webshells selbst von ihren Entwicklern mit Hintertüren versehen worden waren. Durch diese Modifikationen wurden unbeabsichtigt Informationen über ihre Standorte weitergegeben, wodurch weitere Bedrohungsakteure die Kontrolle über die kompromittierten Systeme übernehmen konnten.

Die Risiken verlassener Domains

Dies ist nicht das erste Mal, dass WatchTowr Labs die potenziellen Risiken einer verlassenen Infrastruktur demonstriert. Zuvor hatte das Unternehmen eine alte WHOIS-Serverdomäne für die Top-Level-Domain (TLD) .mobi gekauft. Trotz der Migration auf einen neuen Server kommunizierten über 135.000 einzelne Systeme weiterhin mit der alten Domäne, wodurch sensible Systeme privater Unternehmen, Regierungsbehörden und Militärorganisationen weltweit offengelegt wurden.

Auch Angreifer machen Fehler

Der Erfolg dieser Operation ist ein deutlicher Hinweis darauf, dass Cyberkriminelle nicht unfehlbar sind. Abgelaufene Domains, ungepatchte Schwachstellen und schlecht gewartete Systeme sind Schwachstellen, die sowohl Angreifer als auch Verteidiger betreffen können.

Wichtige Erkenntnisse zur Cybersicherheit

  1. Kritische Domänen überwachen und erneuern : Organisationen müssen die Kontrolle über die mit kritischen Systemen verbundenen Domänen behalten, um deren Missbrauch zu verhindern.
  2. Überprüfen Sie die Legacy-Infrastruktur : Stellen Sie sicher, dass alte Systeme, Domänen und Dienste entweder sicher außer Betrieb genommen oder ordnungsgemäß migriert werden.
  3. Sinkholing als Verteidigungsstrategie : Ethische Forschung und Sinkholing-Initiativen können dazu beitragen, anhaltende Bedrohungen durch verlassene bösartige Infrastrukturen einzudämmen.
  4. Patchen und Sichern von Hintertüren : Angreifer verwenden häufig dieselben Tools erneut. Erkennen und neutralisieren Sie Webshells, um Folgeausnutzungen zu verhindern.

Abschluss

Die Entführung von 4.000 Backdoors über abgelaufene Domains offenbart sowohl die Persistenz von Altbedrohungen als auch die kreativen Lösungen, die Cybersicherheitsexperten zur Verfügung stehen. Während die Operation eine kritische Schwachstelle im digitalen Ökosystem aufzeigt, demonstriert sie auch das Potenzial, bösartige Kampagnen durch strategische Gegenmaßnahmen zu unterbinden.

Unternehmen müssen der proaktiven Verwaltung ihrer Infrastruktur Priorität einräumen und wachsam bleiben, um nicht Opfer ihrer eigenen Nachlässigkeit zu werden. Im Kampf gegen Cyberkriminalität können selbst verlassene Vermögenswerte der Schlüssel zur Wiedererlangung der Kontrolle sein.

Bis Zane
January 14, 2025
Computer Security
Deutsch
January 14, 2025
Computer Security

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.