Odzyskano porzucone domeny, aby ujawnić 4000 ukrytych tylnych drzwi w zainfekowanych systemach

Cyberprzestępcy często wykorzystują tylne furtki — ukryte bramy zaprojektowane w celu ominięcia tradycyjnych środków bezpieczeństwa — aby utrzymać dostęp do zagrożonych systemów. W zaskakującym zwrocie akcji badacze cyberbezpieczeństwa pokazali, jak porzuconą infrastrukturę, taką jak wygasłe domeny, można odzyskać, aby przejąć te tylne furtki, skutecznie odwracając sytuację na niekorzyść atakujących.

WatchTowr Labs niedawno ujawniło, że udało im się przejąć kontrolę nad 4000 unikalnych backdoorów internetowych, kupując ponad 40 wygasłych nazw domen za jedyne 20 USD za sztukę. Ta inicjatywa podkreśla zarówno niebezpieczeństwa porzuconej infrastruktury cyfrowej, jak i możliwości zakłócenia złośliwej aktywności.

Jak wygasłe domeny stały się bramą

Omawiane tylne furtki, z których wiele zostało wdrożonych za pośrednictwem powłok internetowych, polegały na określonych nazwach domen do komunikacji typu command-and-control (C2). Gdy domeny te wygasły lub zostały porzucone przez pierwotnych właścicieli, WatchTowr Labs przejęło je i przekierowało ruch na swoje serwery, skutecznie „zatapiając” złośliwą infrastrukturę.

Dzięki temu badacze mogli:

  1. Monitoruj aktywność sygnalizacyjną : Zainfekowane hosty „zgłaszane” do nowo kontrolowanych domen.
  2. Określenie zakresu naruszenia : identyfikacja tysięcy zagrożonych systemów, w tym podmiotów rządowych i akademickich.
  3. Hipotetycznie przejęcie kontroli nad systemami : Teoretycznie mogliby przejąć pełną kontrolę nad zainfekowanymi hostami, jednak protokoły etyczne uniemożliwiały takie działania.

Ofiary przejętych tylnych drzwi

Wśród zidentyfikowanych zagrożonych systemów znalazły się:

  • Jednostki rządowe w Bangladeszu, Chinach i Nigerii .
  • Placówki akademickie w Chinach, Korei Południowej i Tajlandii .

Ten szeroko rozpowszechniony kompromis podkreśla globalny zasięg takich kampanii i poważne konsekwencje, jakie niesie za sobą pozostawianie krytycznej infrastruktury cyfrowej bez konserwacji.

Arsenał Web Shell

Tylne drzwi różniły się pod względem złożoności i funkcjonalności. Niektóre z najbardziej znanych zaobserwowanych powłok internetowych obejmowały:

  • Proste powłoki internetowe PHP : potrafią wykonywać pojedyncze polecenia dostarczone przez atakujących.
  • c99shell i r57shell : Zaawansowane narzędzia do wykonywania dowolnych poleceń, operacji na plikach i wdrażania dodatkowych ładunków. Zawierały nawet funkcje do brutalnego atakowania serwerów FTP lub samodzielnego usuwania po użyciu.
  • China Chopper : Lekkie, ale potężne narzędzie preferowane przez grupy zajmujące się zaawansowanym, uporczywym zagrożeniem (APT), w szczególności te powiązane z Chinami.

Wykorzystywanie tylnych drzwi w tylnych drzwiach

Co ciekawe, WatchTowr Labs odkryło również przypadki, w których twórcy samych web shellów dokonali backdoorów. Te modyfikacje nieumyślnie ujawniły informacje o ich lokalizacji, umożliwiając innym podmiotom zagrażającym przejęcie kontroli nad naruszonymi systemami.

Ryzyko porzuconych domen

To nie pierwszy raz, kiedy WatchTowr Labs wykazało potencjalne ryzyko porzuconej infrastruktury. Wcześniej firma kupiła starszą domenę serwera WHOIS dla domeny najwyższego poziomu (TLD) .mobi. Pomimo migracji na nowy serwer ponad 135 000 unikalnych systemów nadal komunikowało się ze starą domeną, narażając wrażliwe systemy należące do prywatnych firm, agencji rządowych i organizacji wojskowych na całym świecie.

Atakujący też popełniają błędy

Sukces tej operacji jest jaskrawym przypomnieniem, że cyberprzestępcy nie są nieomylni. Wygasłe domeny, niezałatane luki i źle utrzymane systemy to luki, które mogą mieć wpływ zarówno na atakujących, jak i obrońców.

Najważniejsze wnioski dotyczące cyberbezpieczeństwa

  1. Monitoruj i odnawiaj domeny krytyczne : Organizacje muszą zachować kontrolę nad domenami powiązanymi z systemami krytycznymi, aby zapobiec ich niewłaściwemu wykorzystaniu.
  2. Audyt infrastruktury starszej generacji : upewnij się, że stare systemy, domeny i usługi zostaną bezpiecznie wycofane z eksploatacji lub prawidłowo zmigrowane.
  3. Zapadliska jako strategia obronna : Badania etyczne i inicjatywy związane z zapadliskami mogą pomóc w łagodzeniu bieżących zagrożeń ze strony porzuconej, złośliwej infrastruktury.
  4. Łataj i zabezpieczaj tylne furtki : atakujący często używają tych samych narzędzi. Wykrywaj i neutralizuj powłoki internetowe, aby zapobiec dalszym eksploatom.

Wniosek

Przejęcie 4000 tylnych drzwi przez wygasłe domeny ujawnia zarówno trwałość zagrożeń legacy, jak i kreatywne rozwiązania dostępne dla specjalistów od cyberbezpieczeństwa. Podczas gdy operacja podkreśla krytyczną podatność w ekosystemie cyfrowym, pokazuje również potencjał do zakłócania złośliwych kampanii poprzez strategiczne środki zaradcze.

Organizacje muszą priorytetowo traktować proaktywne zarządzanie infrastrukturą i zachować czujność, aby nie stać się ofiarami własnego nadzoru. W walce z cyberprzestępczością nawet porzucone aktywa mogą być kluczem do odzyskania kontroli.

Do Zane
January 14, 2025
Computer Security
Polski
January 14, 2025
Computer Security

Popularne posty

Co to jest plik OperaGXSetup.exe i czy jest złośliwy?

11 months temu

Eporner.com i dlaczego jego nadmierna liczba wyskakujących...

12 days temu

Uwaga: ktoś dodał Cię jako oszustwo związane z e-mailem...

10 months temu

HackTool:Win32/Crack: Złośliwe zagrożenie, które może poważnie...

7 months temu

Potencjalnie poważne zagrożenie: Trojan:Win32/Suschil!rfn

19 days temu

Czym jest zagrożenie związane z koniem trojańskim Packunwan i...

11 months temu
Polski
Ładowanie...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.