Forlatte domener gjenvunnet for å avsløre 4000 skjulte bakdører på kompromitterte systemer

Cyberkriminelle bruker ofte bakdører – skjulte gatewayer designet for å omgå tradisjonelle sikkerhetstiltak – for å opprettholde tilgangen til kompromitterte systemer. I en overraskende vri har cybersikkerhetsforskere vist hvordan forlatt infrastruktur, for eksempel utløpte domener, kan gjenvinnes for å kapre disse bakdørene, og effektivt snu bordet til angripere.

WatchTowr Labs avslørte nylig at de klarte å få kontroll over 4000 unike web-bakdører ved å kjøpe mer enn 40 utløpte domenenavn for så lite som $20 hver. Dette initiativet fremhever både farene ved forlatt digital infrastruktur og mulighetene for å forstyrre ondsinnet aktivitet.

Hvordan utløpte domener ble en gateway

De aktuelle bakdørene, mange distribuert via web-skall, var avhengige av spesifikke domenenavn for kommando-og-kontroll (C2) kommunikasjon. Når disse domenene utløp eller ble forlatt av sine opprinnelige eiere, kjøpte WatchTowr Labs dem og omdirigerte trafikken til deres servere, og effektivt "sinkholing" den skadelige infrastrukturen.

Dette tillot forskerne å:

1. Overvåk beaconing-aktivitet : Kompromitterte verter "rapporterte inn" til de nylig kontrollerte domenene.
2. Kartlegg omfanget av kompromisset : Identifiser tusenvis av berørte systemer, inkludert myndigheter og akademiske enheter.
3. Beherske systemene hypotetisk : Teoretisk sett kunne de ha tatt full kontroll over de kompromitterte vertene, selv om etiske protokoller forhindret slike handlinger.

Ofrene for kaprede bakdører

Blant de kompromitterte systemene som ble identifisert var:

• Offentlige enheter i Bangladesh, Kina og Nigeria .
• Akademiske institusjoner over hele Kina, Sør-Korea og Thailand .

Dette utbredte kompromisset understreker den globale rekkevidden til slike bakdørskampanjer og de alvorlige implikasjonene av å forlate kritisk digital infrastruktur uvedlikeholdt.

The Web Shell Arsenal

Bakdørene varierte i kompleksitet og funksjonalitet. Noen av de mest bemerkelsesverdige web-skallene som ble observert inkluderer:

• Enkle PHP Web Shells : Kan utføre enkeltkommandoer levert av angripere.
• c99shell og r57shell : Avanserte verktøy for å utføre vilkårlige kommandoer, filoperasjoner og distribuere ekstra nyttelast. De inkluderte til og med funksjoner for brute-force FTP-servere eller selvfjerning etter bruk.
• China Chopper : Et lett, men kraftig verktøy foretrukket av avanserte vedvarende trusselgrupper (APT), spesielt de som er knyttet til Kina.

Utnyttelse av bakdører inne i bakdører

Interessant nok oppdaget WatchTowr Labs også tilfeller der nettskallene i seg selv hadde blitt bakdør av skaperne deres. Disse modifikasjonene lekket utilsiktet informasjon om plasseringene deres, slik at flere trusselaktører kunne ta kontroll over de kompromitterte systemene.

Risikoen ved forlatte domener

Dette er ikke første gang WatchTowr Labs har demonstrert den potensielle risikoen ved forlatt infrastruktur. Tidligere kjøpte selskapet et eldre WHOIS-serverdomene for .mobi-toppnivådomenet (TLD). Til tross for migreringen til en ny server, fortsatte over 135 000 unike systemer å kommunisere med det gamle domenet, og avslørte sensitive systemer som tilhører private selskaper, offentlige etater og militære organisasjoner over hele verden.

Angripere gjør også feil

Suksessen til denne operasjonen tjener som en sterk påminnelse om at nettkriminelle ikke er ufeilbarlige. Utløpte domener, uopprettede sårbarheter og dårlig vedlikeholdte systemer er sårbarheter som kan påvirke både angripere og forsvarere.

Viktige takeaways for cybersikkerhet

1. Overvåke og fornye kritiske domener : Organisasjoner må opprettholde kontroll over domener knyttet til kritiske systemer for å forhindre misbruk av dem.
2. Revisjon av eldre infrastruktur : Sørg for at gamle systemer, domener og tjenester enten tas ut av drift på en sikker måte eller migreres på riktig måte.
3. Sinkholing som en defensiv strategi : Etisk forskning og slukningsinitiativer kan bidra til å dempe pågående trusler fra forlatt ondsinnet infrastruktur.
4. Patch og sikre bakdører : Angripere gjenbruker ofte de samme verktøyene. Oppdag og nøytraliser nettskall for å forhindre oppfølgende utnyttelse.

Konklusjon

Kapringen av 4000 bakdører gjennom utløpte domener avslører både vedvarende trusler og de kreative løsningene som er tilgjengelige for cybersikkerhetseksperter. Selv om operasjonen fremhever en kritisk sårbarhet i det digitale økosystemet, viser den også potensialet til å forstyrre ondsinnede kampanjer gjennom strategiske mottiltak.

Organisasjoner må prioritere proaktiv infrastrukturforvaltning og være på vakt for å unngå å bli ofre for sitt eget tilsyn. I kampen mot nettkriminalitet kan selv forlatte eiendeler holde nøkkelen til å gjenvinne kontrollen.