Verlaten domeinen teruggevorderd om 4.000 verborgen achterdeurtjes op gecompromitteerde systemen bloot te leggen

Cybercriminelen maken vaak gebruik van backdoors, verborgen gateways die zijn ontworpen om traditionele beveiligingsmaatregelen te omzeilen, om toegang te behouden tot gecompromitteerde systemen. In een verrassende wending hebben cybersecurity-onderzoekers aangetoond hoe verlaten infrastructuur, zoals verlopen domeinen, kan worden teruggevorderd om deze backdoors te kapen, waarmee ze effectief de rollen omdraaien.

WatchTowr Labs onthulde onlangs dat ze erin slaagden om controle te krijgen over 4.000 unieke webbackdoors door meer dan 40 verlopen domeinnamen te kopen voor slechts $ 20 per stuk. Dit initiatief benadrukt zowel de gevaren van verlaten digitale infrastructuur als de kansen om kwaadaardige activiteiten te verstoren.

Hoe verlopen domeinen een gateway werden

De backdoors in kwestie, waarvan er veel via web shells werden ingezet, vertrouwden op specifieke domeinnamen voor command-and-control (C2) communicatie. Toen deze domeinen verliepen of door hun oorspronkelijke eigenaren werden verlaten, nam WatchTowr Labs ze over en leidde het verkeer om naar hun servers, waardoor de kwaadaardige infrastructuur effectief werd "gezonken".

Hierdoor konden onderzoekers:

  1. Controleer de bakenactiviteit : gecompromitteerde hosts worden 'gerapporteerd' bij de nieuw gecontroleerde domeinen.
  2. Breng de omvang van het compromis in kaart : identificeer duizenden getroffen systemen, waaronder overheids- en academische instellingen.
  3. Hypothetisch gezien zouden ze de systemen moeten besturen : Theoretisch gezien hadden ze de volledige controle over de gecompromitteerde hosts kunnen overnemen, maar ethische protocollen verhinderden dergelijke acties.

De slachtoffers van gekaapte achterdeurtjes

Tot de gecompromitteerde systemen behoorden:

  • Overheidsinstanties in Bangladesh, China en Nigeria .
  • Academische instellingen in China, Zuid-Korea en Thailand .

Dit wijdverbreide compromis onderstreept de wereldwijde reikwijdte van dergelijke achterdeurcampagnes en de ernstige gevolgen van het niet onderhouden van kritieke digitale infrastructuur.

Het Web Shell Arsenaal

De backdoors varieerden in complexiteit en functionaliteit. Enkele van de meest opvallende waargenomen web shells waren:

  • Eenvoudige PHP-webshells : kunnen afzonderlijke opdrachten van aanvallers uitvoeren.
  • c99shell en r57shell : Geavanceerde tools voor het uitvoeren van willekeurige opdrachten, bestandsbewerkingen en het implementeren van extra payloads. Ze bevatten zelfs functies om FTP-servers te brute-forcen of zichzelf te verwijderen na gebruik.
  • China Chopper : Een lichtgewicht maar krachtig hulpmiddel dat populair is bij geavanceerde persistente bedreigingsgroepen (APT), met name die welke banden hebben met China.

Het exploiteren van backdoors binnen backdoors

Interessant genoeg ontdekte WatchTowr Labs ook gevallen waarin de web shells zelf door hun makers waren gebackdoord. Deze aanpassingen lekten onbedoeld informatie over hun locaties, waardoor andere dreigingsactoren de controle over de gecompromitteerde systemen konden overnemen.

De risico’s van verlaten domeinen

Dit is niet de eerste keer dat WatchTowr Labs de potentiële risico's van verlaten infrastructuur heeft aangetoond. Eerder kocht het bedrijf een legacy WHOIS-serverdomein voor het .mobi topleveldomein (TLD). Ondanks de migratie naar een nieuwe server bleven meer dan 135.000 unieke systemen communiceren met het oude domein, waardoor gevoelige systemen van particuliere bedrijven, overheidsinstanties en militaire organisaties wereldwijd werden blootgesteld.

Aanvallers maken ook fouten

Het succes van deze operatie dient als een duidelijke herinnering dat cybercriminelen niet onfeilbaar zijn. Verlopen domeinen, ongepatchte kwetsbaarheden en slecht onderhouden systemen zijn kwetsbaarheden die zowel aanvallers als verdedigers kunnen treffen.

Belangrijkste punten voor cyberbeveiliging

  1. Kritieke domeinen bewaken en vernieuwen : Organisaties moeten de controle behouden over domeinen die gekoppeld zijn aan kritieke systemen om misbruik te voorkomen.
  2. Controleer de bestaande infrastructuur : zorg ervoor dat oude systemen, domeinen en services veilig worden verwijderd of correct worden gemigreerd.
  3. Sinkholing als verdedigingsstrategie : ethisch onderzoek en sinkholing-initiatieven kunnen helpen de aanhoudende bedreigingen van verlaten kwaadaardige infrastructuur te beperken.
  4. Patch en Secure Backdoors : Aanvallers hergebruiken vaak dezelfde tools. Detecteer en neutraliseer web shells om vervolgexploitatie te voorkomen.

Conclusie

De kaping van 4.000 backdoors via verlopen domeinen onthult zowel de hardnekkigheid van legacy-bedreigingen als de creatieve oplossingen die beschikbaar zijn voor cybersecurityprofessionals. Hoewel de operatie een kritieke kwetsbaarheid in het digitale ecosysteem benadrukt, toont het ook het potentieel om kwaadaardige campagnes te verstoren door middel van strategische tegenmaatregelen.

Organisaties moeten proactief infrastructuurbeheer prioriteit geven en waakzaam blijven om te voorkomen dat ze slachtoffer worden van hun eigen toezicht. In de strijd tegen cybercriminaliteit kunnen zelfs verlaten activa de sleutel zijn tot het herwinnen van controle.

Tegen Zane
January 14, 2025
Computer Security
Nederlands
January 14, 2025
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.