Az elhagyott domainek visszaszerzése, hogy 4000 rejtett hátsó ajtót tárjanak fel a kompromittált rendszereken

A kiberbűnözők gyakran kihasználják a hátsó ajtókat – a hagyományos biztonsági intézkedések megkerülésére tervezett rejtett átjárókat –, hogy fenntartsák a hozzáférést a feltört rendszerekhez. Meglepő fordulattal a kiberbiztonsági kutatók bemutatták, hogyan lehet visszaszerezni az elhagyott infrastruktúrát, például a lejárt domaineket, hogy eltérítsék ezeket a hátsó ajtókat, hatékonyan fordítva a támadókat.

A WatchTowr Labs nemrégiben felfedte, hogy 4000 egyedi webes hátsó ajtó felett sikerült megszerezniük az irányítást azáltal, hogy több mint 40 lejárt domain nevet vásároltak, egyenként mindössze 20 dollárért. Ez a kezdeményezés rávilágít az elhagyott digitális infrastruktúra veszélyeire és a rosszindulatú tevékenységek megzavarásának lehetőségeire.

Hogyan váltak átjáróvá a lejárt domainek?

A szóban forgó hátsó ajtók, amelyeket sok webhéjon keresztül telepítettek, meghatározott tartománynevekre támaszkodtak a parancs- és vezérlés (C2) kommunikációhoz. Amikor ezek a domainek lejártak, vagy eredeti tulajdonosaik elhagyták őket, a WatchTowr Labs felvásárolta őket, és a forgalmat a szervereikre irányította át, ezzel gyakorlatilag "elsüllyesztve" a rosszindulatú infrastruktúrát.

Ez lehetővé tette a kutatóknak, hogy:

  1. Beaconing tevékenység figyelése : A kompromittált gazdagépek „bejelentették” az újonnan felügyelt tartományokat.
  2. A kompromisszum hatókörének feltérképezése : Több ezer érintett rendszer azonosítása, beleértve a kormányzati és akadémiai szervezeteket.
  3. Elméletileg vezesse a rendszereket : Elméletileg átvehették volna az irányítást a kompromittált gazdagépek felett, bár az etikai protokollok megakadályozták az ilyen cselekvéseket.

Az eltérített hátsó ajtók áldozatai

Az azonosított kompromittált rendszerek között a következők voltak:

  • Kormányzati szervek Bangladesben, Kínában és Nigériában .
  • Akadémiai intézmények Kínában, Dél-Koreában és Thaiföldön .

Ez a széles körben elterjedt kompromisszum aláhúzza az ilyen hátsóajtó-kampányok globális hatókörét és a kritikus digitális infrastruktúra karbantartás nélkül hagyásának súlyos következményeit.

A Web Shell Arzenál

A hátsó ajtók összetettsége és funkcionalitása változatos volt. A megfigyelt legfigyelemreméltóbb webhéjak közül néhány:

  • Egyszerű PHP Web Shellek : Képes végrehajtani a támadók által adott egyetlen parancsot.
  • c99shell és r57shell : Speciális eszközök tetszőleges parancsok, fájlműveletek végrehajtásához és további hasznos terhelések telepítéséhez. Tartalmaztak még olyan funkciókat is, amelyek lehetővé teszik az FTP-kiszolgálók brutális erőltetését vagy a használat utáni öneltávolítást.
  • China Chopper : Könnyű, de hatékony eszköz, amelyet a fejlett tartós fenyegetés (APT) csoportok kedvelnek, különösen a Kínához köthető csoportok.

A hátsó ajtók kihasználása a hátsó ajtókon belül

Érdekes módon a WatchTowr Labs olyan eseteket is felfedezett, amikor magukat a webhéjakat háttérajtóval zárták le az alkotóik. Ezek a módosítások véletlenül információkat szivárogtattak ki a helyükről, lehetővé téve, hogy további fenyegetés szereplői átvessék az irányítást a feltört rendszerek felett.

Az elhagyott tartományok kockázatai

Nem ez az első alkalom, hogy a WatchTowr Labs bemutatja az elhagyott infrastruktúra lehetséges kockázatait. Korábban a vállalat vásárolt egy örökölt WHOIS szerverdomaint a .mobi legfelső szintű domainhez (TLD). Az új szerverre való áttérés ellenére több mint 135 000 egyedi rendszer kommunikált továbbra is a régi domainnel, ami világszerte magáncégekhez, kormányzati szervekhez és katonai szervezetekhez tartozó érzékeny rendszereket tette közzé.

A támadók is hibáznak

A művelet sikere határozottan emlékeztet arra, hogy a kiberbűnözők nem tévedhetetlenek. A lejárt tartományok, a javítatlan biztonsági rések és a rosszul karbantartott rendszerek olyan biztonsági rések, amelyek a támadókat és a védőket egyaránt érinthetik.

A kiberbiztonság legfontosabb tudnivalói

  1. Kritikus tartományok figyelése és megújítása : A szervezeteknek fenn kell tartaniuk a felügyeletet a kritikus rendszerekhez társított tartományok felett, hogy megakadályozzák a visszaéléseket.
  2. Korábbi infrastruktúra ellenőrzése : Győződjön meg arról, hogy a régi rendszereket, tartományokat és szolgáltatásokat biztonságosan leállították, vagy megfelelően áttelepítették.
  3. Sinkholing, mint védekező stratégia : Az etikus kutatás és a süllyesztők feltárására irányuló kezdeményezések segíthetnek mérsékelni az elhagyott rosszindulatú infrastruktúrák folyamatos fenyegetéseit.
  4. Javítás és biztonságos hátsó ajtók : A támadók gyakran ugyanazokat az eszközöket használják újra. Észlelje és semlegesítse a webhéjakat, hogy megakadályozza a további kihasználást.

Következtetés

A 4000 hátsó ajtó lejárt domaineken keresztül történő eltérítése egyaránt feltárja az örökölt fenyegetések fennmaradását és a kiberbiztonsági szakemberek számára elérhető kreatív megoldásokat. Noha a művelet rávilágít a digitális ökoszisztéma kritikus sebezhetőségére, azt is megmutatja, hogy stratégiai ellenintézkedések révén megzavarhatja a rosszindulatú kampányokat.

A szervezeteknek előnyben kell részesíteniük a proaktív infrastruktúra-kezelést, és ébernek kell maradniuk, nehogy saját felügyeletük áldozataivá váljanak. A kiberbűnözés elleni küzdelemben még az elhagyott vagyontárgyak is kulcsot jelenthetnek az irányítás visszaszerzéséhez.

Zane -Ig
January 14, 2025
Computer Security
Magyar
January 14, 2025
Computer Security

Népszerű Bejegyzések

Mi az OperaGXSetup.exe fájl, és rosszindulatú?

11 months ezelőtt

Az Eporner.com és miért kockázatos a túl sok előugró ablak?

12 days ezelőtt

Vegye figyelembe: Valaki felvette Önt helyreállítási...

10 months ezelőtt

HackTool:Win32/Crack: rosszindulatú fenyegetés, amely súlyosan...

7 months ezelőtt

Potenciálisan komoly fenyegetés: Trojan:Win32/Suschil!rfn

19 days ezelőtt

Mi a Packunwan trójai faló fenyegetés, és hogyan érintheti a...

11 months ezelőtt
Magyar
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Itthon

Termékek

Cyclonis Password Manager Cyclonis World Time

Támogatás

Súgó fájlok GYIK Downloads Inquiries & Support

Vállalat

Rólunk Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Adatvédelmi irányelvek Cookie-szabályzat Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

A Windows a Microsoft védjegye az Egyesült Államokban és más országokban.
A Mac, az iPhone, az iPad és az App Store az Apple Inc. védjegye az Egyesült Államokban és más országokban.
Az iOS a Cisco Systems, Inc. és/vagy leányvállalatainak bejegyzett védjegye az Egyesült Államokban és bizonyos más országokban.
Az Android és a Google Play a Google LLC védjegye.