Domínios abandonados recuperados para expor 4.000 backdoors ocultos em sistemas comprometidos

Os criminosos cibernéticos frequentemente aproveitam backdoors — gateways ocultos projetados para contornar medidas de segurança tradicionais — para manter o acesso a sistemas comprometidos. Em uma reviravolta surpreendente, pesquisadores de segurança cibernética demonstraram como infraestrutura abandonada, como domínios expirados, pode ser recuperada para sequestrar esses backdoors, efetivamente virando a mesa para os invasores.

O WatchTowr Labs revelou recentemente que conseguiu obter controle sobre 4.000 backdoors exclusivos da web comprando mais de 40 nomes de domínio expirados por apenas US$ 20 cada. Esta iniciativa destaca tanto os perigos da infraestrutura digital abandonada quanto as oportunidades de interromper atividades maliciosas.

Como domínios expirados se tornaram um gateway

Os backdoors em questão, muitos implantados via web shells, dependiam de nomes de domínio específicos para comunicação de comando e controle (C2). Quando esses domínios expiravam ou eram abandonados por seus donos originais, a WatchTowr Labs os adquiria e redirecionava o tráfego para seus servidores, efetivamente "afundando" a infraestrutura maliciosa.

Isso permitiu aos pesquisadores:

  1. Monitorar atividade de beaconing : hosts comprometidos “relataram” aos novos domínios controlados.
  2. Mapear o escopo do comprometimento : identificar milhares de sistemas afetados, incluindo entidades governamentais e acadêmicas.
  3. Comandar os sistemas hipoteticamente : Teoricamente, eles poderiam ter assumido o controle total sobre os hosts comprometidos, embora protocolos éticos impedissem tais ações.

As vítimas de backdoors sequestrados

Entre os sistemas comprometidos identificados estavam:

  • Entidades governamentais em Bangladesh, China e Nigéria .
  • Instituições acadêmicas na China, Coreia do Sul e Tailândia .

Esse comprometimento generalizado ressalta o alcance global dessas campanhas clandestinas e as graves implicações de deixar infraestrutura digital crítica sem manutenção.

O Arsenal do Web Shell

Os backdoors variavam em complexidade e funcionalidade. Alguns dos web shells mais notáveis observados incluíam:

  • Shells PHP Web simples : capazes de executar comandos únicos fornecidos por invasores.
  • c99shell e r57shell : Ferramentas avançadas para executar comandos arbitrários, operações de arquivo e implantar payloads adicionais. Eles até incluíram recursos para forçar brutamente servidores FTP ou auto-remover após o uso.
  • China Chopper : Uma ferramenta leve, porém poderosa, preferida por grupos de ameaças persistentes avançadas (APT), particularmente aqueles ligados à China.

Explorando Backdoors dentro de Backdoors

Curiosamente, o WatchTowr Labs também descobriu casos em que os próprios web shells foram invadidos por backdoors por seus criadores. Essas modificações vazaram inadvertidamente informações sobre suas localizações, permitindo que agentes de ameaças adicionais assumissem o controle dos sistemas comprometidos.

Os riscos de domínios abandonados

Esta não é a primeira vez que a WatchTowr Labs demonstra os riscos potenciais de infraestrutura abandonada. Anteriormente, a empresa comprou um domínio de servidor WHOIS legado para o domínio de nível superior (TLD) .mobi. Apesar da migração para um novo servidor, mais de 135.000 sistemas exclusivos continuaram a se comunicar com o antigo domínio, expondo sistemas sensíveis pertencentes a empresas privadas, agências governamentais e organizações militares em todo o mundo.

Os atacantes também cometem erros

O sucesso desta operação serve como um lembrete claro de que os cibercriminosos não são infalíveis. Domínios expirados, vulnerabilidades sem patches e sistemas mal mantidos são vulnerabilidades que podem afetar tanto os atacantes quanto os defensores.

Principais conclusões sobre a segurança cibernética

  1. Monitore e renove domínios críticos : as organizações devem manter o controle sobre domínios associados a sistemas críticos para evitar seu uso indevido.
  2. Auditar infraestrutura legada : garanta que sistemas, domínios e serviços antigos sejam desativados com segurança ou migrados corretamente.
  3. Sinkholing como estratégia defensiva : pesquisas éticas e iniciativas de sinkholing podem ajudar a mitigar ameaças contínuas de infraestrutura maliciosa abandonada.
  4. Patch and Secure Backdoors : Os invasores frequentemente reutilizam as mesmas ferramentas. Detecte e neutralize shells da web para evitar exploração subsequente.

Conclusão

O sequestro de 4.000 backdoors por meio de domínios expirados revela tanto a persistência de ameaças legadas quanto as soluções criativas disponíveis para profissionais de segurança cibernética. Enquanto a operação destaca uma vulnerabilidade crítica no ecossistema digital, ela também demonstra o potencial de interromper campanhas maliciosas por meio de contramedidas estratégicas.

As organizações devem priorizar o gerenciamento proativo de infraestrutura e permanecer vigilantes para evitar se tornarem vítimas de sua própria supervisão. Na luta contra o crime cibernético, até mesmo ativos abandonados podem ser a chave para retomar o controle.

Por Zane
January 14, 2025
Computer Security
Portuguese
January 14, 2025
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.