放棄されたドメインが回収され、侵害されたシステムに隠された 4,000 個のバックドアが発見される

サイバー犯罪者は、侵入したシステムへのアクセスを維持するために、従来のセキュリティ対策を回避するために設計された隠れたゲートウェイであるバックドアを利用することがよくあります。驚くべきことに、サイバーセキュリティ研究者は、期限切れのドメインなどの放棄されたインフラストラクチャを再利用してこれらのバックドアを乗っ取り、攻撃者に対して効果的に形勢を逆転させる方法を実証しました。

WatchTowr Labs は最近、40 以上の期限切れドメイン名を 1 つあたりわずか 20 ドルで購入し、4,000 以上の Web バックドアを制御できたことを明らかにしました。この取り組みは、放置されたデジタル インフラストラクチャの危険性と、悪意のある活動を阻止する機会の両方を浮き彫りにしています。

期限切れドメインがゲートウェイになった経緯

問題のバックドアの多くはウェブシェル経由で展開され、コマンドアンドコントロール (C2) 通信に特定のドメイン名に依存していました。これらのドメインが期限切れになったり、元の所有者によって放棄されたりすると、WatchTowr Labs はそれらを取得し、トラフィックを自社のサーバーにリダイレクトして、悪意のあるインフラストラクチャを事実上「シンクホール化」しました。

これにより研究者は以下のことが可能になりました。

  1. ビーコン アクティビティの監視: 侵害されたホストが、新たに制御されたドメインに「報告」されました。
  2. 侵害の範囲をマッピングする: 政府機関や学術機関を含む、影響を受ける数千のシステムを特定します。
  3. システムを仮想的に制御する: 理論的には、侵害されたホストを完全に制御できた可能性がありますが、倫理プロトコルによりそのような行為は禁止されています。

バックドアの乗っ取り被害者

特定された侵害を受けたシステムには以下のものがありました。

  • バングラデシュ、中国、ナイジェリアの政府機関。
  • 中国、韓国、タイの学術機関。

この広範囲にわたる侵害は、このようなバックドア攻撃が世界規模で広がっていること、そして重要なデジタルインフラを保守せずに放置した場合の深刻な影響を浮き彫りにしています。

Web シェルの武器庫

バックドアは複雑さと機能がさまざまです。観察された最も注目すべき Web シェルには次のようなものがあります。

  • シンプルな PHP Web シェル: 攻撃者が提供する単一のコマンドを実行できます。
  • c99shell および r57shell : 任意のコマンド、ファイル操作、および追加のペイロードの展開を実行するための高度なツール。FTP サーバーをブルートフォース攻撃したり、使用後に自己削除したりする機能も含まれています。
  • China Chopper : 高度で持続的な脅威 (APT) グループ、特に中国に関連するグループが好む軽量でありながら強力なツールです。

バックドア内部のバックドアを悪用する

興味深いことに、WatchTowr Labs は、Web シェル自体に作成者によってバックドアが仕掛けられていたケースも発見しました。これらの変更により、意図せず Web シェルの場所に関する情報が漏洩し、新たな脅威アクターが侵入したシステムを制御できるようになりました。

放棄されたドメインのリスク

WatchTowr Labs が放棄されたインフラストラクチャの潜在的なリスクを実証したのは今回が初めてではありません。以前、同社は .mobi トップレベルドメイン (TLD) のレガシー WHOIS サーバードメインを購入しました。新しいサーバーに移行したにもかかわらず、135,000 を超える固有のシステムが古いドメインと通信し続け、世界中の民間企業、政府機関、軍事組織の機密システムが危険にさらされていました。

攻撃者もミスを犯す

この作戦の成功は、サイバー犯罪者が絶対確実ではないことをはっきりと思い出させるものです。期限切れのドメイン、パッチが適用されていない脆弱性、メンテナンスが不十分なシステムは、攻撃者と防御者の両方に影響を及ぼす脆弱性です。

サイバーセキュリティの重要なポイント

  1. 重要なドメインの監視と更新: 組織は、重要なシステムに関連付けられたドメインの誤用を防ぐために、それらのドメインに対する制御を維持する必要があります。
  2. レガシー インフラストラクチャの監査: 古いシステム、ドメイン、およびサービスが安全に廃止されるか、適切に移行されていることを確認します。
  3. 防御戦略としてのシンクホール: 倫理的な研究とシンクホールの取り組みは、放置された悪意のあるインフラストラクチャによる継続的な脅威を軽減するのに役立ちます。
  4. バックドアのパッチとセキュリティ保護: 攻撃者は同じツールを再利用することがよくあります。Web シェルを検出して無効化し、その後の悪用を防止します。

結論

期限切れのドメインを通じた 4,000 個のバックドアの乗っ取りは、従来の脅威の根強さと、サイバーセキュリティ専門家が利用できる独創的なソリューションの両方を明らかにしています。この作戦は、デジタル エコシステムの重大な脆弱性を浮き彫りにする一方で、戦略的な対策によって悪意のあるキャンペーンを阻止できる可能性も示しています。

組織は、積極的なインフラストラクチャ管理を優先し、自らの監視の犠牲者にならないよう警戒を怠らないようにする必要があります。サイバー犯罪との戦いでは、放棄された資産でさえも制御を取り戻す鍵となる可能性があります。

Zane
January 14, 2025
Computer Security
日本語
January 14, 2025
Computer Security

人気の投稿

OperaGXSetup.exe ファイルとは何ですか? 悪意のあるものですか?

11 months年前

Eporner.comとその過剰なポップアップが危険な理由

12 days年前

注意してください: 誰かがあなたをリカバリメール詐欺に追加しました

10 months年前

HackTool:Win32/Crack: システムに深刻なダメージを与える可能性のある悪意のある脅威

7 months年前

潜在的に深刻な脅威: Trojan:Win32/Suschil!rfn

19 days年前

Packunwan トロイの木馬の脅威とは何か、そしてそれがコンピュータにどのような影響を与えるか

11 months年前
日本語
読み込み中...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。