Des domaines abandonnés récupérés pour exposer 4 000 portes dérobées cachées sur des systèmes compromis

Les cybercriminels utilisent souvent des portes dérobées (des passerelles cachées conçues pour contourner les mesures de sécurité traditionnelles) pour conserver l’accès aux systèmes compromis. De manière surprenante, des chercheurs en cybersécurité ont démontré comment des infrastructures abandonnées, comme des domaines expirés, peuvent être récupérées pour détourner ces portes dérobées, renversant ainsi la situation des attaquants.

WatchTowr Labs a récemment révélé avoir réussi à prendre le contrôle de plus de 4 000 portes dérobées Web uniques en achetant plus de 40 noms de domaine expirés pour seulement 20 $ chacun. Cette initiative met en évidence à la fois les dangers des infrastructures numériques abandonnées et les possibilités de perturber les activités malveillantes.

Comment les domaines expirés sont devenus une passerelle

Les portes dérobées en question, dont beaucoup étaient déployées via des shells Web, s'appuyaient sur des noms de domaine spécifiques pour la communication de commande et de contrôle (C2). Lorsque ces domaines expiraient ou étaient abandonnés par leurs propriétaires d'origine, WatchTowr Labs les acquérait et redirigeait le trafic vers ses serveurs, « sombrant » ainsi l'infrastructure malveillante.

Cela a permis aux chercheurs de :

  1. Surveiller l'activité de balisage : les hôtes compromis sont « signalés » aux domaines nouvellement contrôlés.
  2. Cartographier l’étendue de la compromission : identifier des milliers de systèmes affectés, y compris des entités gouvernementales et universitaires.
  3. Commandez hypothétiquement les systèmes : Théoriquement, ils auraient pu prendre le contrôle total des hôtes compromis, bien que les protocoles éthiques empêchent de telles actions.

Les victimes des portes dérobées piratées

Parmi les systèmes compromis identifiés figuraient :

  • Entités gouvernementales au Bangladesh, en Chine et au Nigéria .
  • Institutions universitaires en Chine, en Corée du Sud et en Thaïlande .

Cette compromission généralisée souligne la portée mondiale de telles campagnes de porte dérobée et les graves conséquences que pourrait entraîner le fait de laisser des infrastructures numériques critiques sans maintenance.

L’arsenal des shells Web

Les portes dérobées variaient en termes de complexité et de fonctionnalités. Parmi les shells Web les plus remarquables observés, on trouve :

  • Shells Web PHP simples : capables d'exécuter des commandes uniques fournies par des attaquants.
  • c99shell et r57shell : des outils avancés pour exécuter des commandes arbitraires, des opérations sur des fichiers et déployer des charges utiles supplémentaires. Ils incluent même des fonctionnalités permettant de forcer les serveurs FTP ou de les supprimer automatiquement après utilisation.
  • China Chopper : un outil léger mais puissant privilégié par les groupes de menaces persistantes avancées (APT), en particulier ceux liés à la Chine.

Exploiter les portes dérobées à l’intérieur des portes dérobées

Il est intéressant de noter que WatchTowr Labs a également découvert des cas où les shells Web eux-mêmes avaient été détournés par leurs créateurs. Ces modifications ont par inadvertance divulgué des informations sur leur emplacement, permettant à d'autres acteurs malveillants de prendre le contrôle des systèmes compromis.

Les risques des domaines abandonnés

Ce n'est pas la première fois que WatchTowr Labs démontre les risques potentiels d'une infrastructure abandonnée. Auparavant, la société avait acheté un domaine de serveur WHOIS hérité pour le domaine de premier niveau (TLD) .mobi. Malgré la migration vers un nouveau serveur, plus de 135 000 systèmes uniques ont continué à communiquer avec l'ancien domaine, exposant ainsi des systèmes sensibles appartenant à des entreprises privées, des agences gouvernementales et des organisations militaires du monde entier.

Les attaquants font aussi des erreurs

Le succès de cette opération nous rappelle que les cybercriminels ne sont pas infaillibles. Les domaines expirés, les vulnérabilités non corrigées et les systèmes mal entretenus sont des vulnérabilités qui peuvent affecter à la fois les attaquants et les défenseurs.

Principaux points à retenir pour la cybersécurité

  1. Surveiller et renouveler les domaines critiques : les organisations doivent maintenir le contrôle des domaines associés aux systèmes critiques pour empêcher leur utilisation abusive.
  2. Audit de l'infrastructure héritée : assurez-vous que les anciens systèmes, domaines et services sont mis hors service en toute sécurité ou migrés correctement.
  3. L’effondrement comme stratégie défensive : la recherche éthique et les initiatives d’effondrement peuvent aider à atténuer les menaces actuelles posées par les infrastructures malveillantes abandonnées.
  4. Corriger et sécuriser les portes dérobées : les attaquants réutilisent souvent les mêmes outils. Détectez et neutralisez les shells Web pour empêcher toute exploitation ultérieure.

Conclusion

Le détournement de 4 000 portes dérobées via des domaines expirés révèle à la fois la persistance des menaces existantes et les solutions créatives à disposition des professionnels de la cybersécurité. Si l’opération met en évidence une vulnérabilité critique de l’écosystème numérique, elle démontre également le potentiel de perturber les campagnes malveillantes grâce à des contre-mesures stratégiques.

Les organisations doivent donner la priorité à une gestion proactive de leurs infrastructures et rester vigilantes pour éviter de devenir victimes de leur propre négligence. Dans la lutte contre la cybercriminalité, même les actifs abandonnés peuvent être la clé pour reprendre le contrôle.

Par Zane
January 14, 2025
Computer Security
Français
January 14, 2025
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.