Заброшенные домены восстановлены, чтобы раскрыть 4000 скрытых бэкдоров на скомпрометированных системах

Киберпреступники часто используют бэкдоры — скрытые шлюзы, разработанные для обхода традиционных мер безопасности — чтобы сохранить доступ к скомпрометированным системам. В неожиданном повороте событий исследователи кибербезопасности продемонстрировали, как заброшенная инфраструктура, такая как просроченные домены, может быть возвращена для захвата этих бэкдоров, эффективно меняя положение злоумышленников.

WatchTowr Labs недавно сообщила, что им удалось получить контроль над 4000 уникальных веб-бэкдоров, купив более 40 просроченных доменных имен всего за 20 долларов за каждое. Эта инициатива подчеркивает как опасности заброшенной цифровой инфраструктуры, так и возможности для прерывания вредоносной деятельности.

Как просроченные домены стали шлюзом

Рассматриваемые бэкдоры, многие из которых были развернуты через веб-оболочки, использовали определенные доменные имена для командно-контрольной (C2) коммуникации. Когда эти домены истекали или их бросали их первоначальные владельцы, WatchTowr Labs приобретала их и перенаправляла трафик на свои серверы, эффективно «закладывая» вредоносную инфраструктуру.

Это позволило исследователям:

1. Мониторинг активности маяков : взломанные хосты «сообщают» о новых контролируемых доменах.
2. Составьте карту масштабов взлома : идентифицируйте тысячи затронутых систем, включая государственные и академические учреждения.
3. Гипотетически управлять системами : теоретически они могли бы получить полный контроль над скомпрометированными хостами, хотя этические протоколы не допускали таких действий.

Жертвы взломанных бэкдоров

Среди выявленных скомпрометированных систем были:

• Государственные учреждения в Бангладеш, Китае и Нигерии .
• Академические учреждения Китая, Южной Кореи и Таиланда .

Эта широко распространенная компрометация подчеркивает глобальный масштаб подобных кампаний по проникновению вредоносных программ и серьезные последствия, которые может иметь оставление критически важной цифровой инфраструктуры без обслуживания.

Арсенал веб-оболочки

Бэкдоры различались по сложности и функциональности. Некоторые из наиболее заметных веб-шеллов, которые мы наблюдали, включали:

• Простые PHP-веб-оболочки : способны выполнять отдельные команды, предоставленные злоумышленниками.
• c99shell и r57shell : Расширенные инструменты для выполнения произвольных команд, файловых операций и развертывания дополнительных полезных нагрузок. Они даже включали функции для взлома FTP-серверов или самоудаления после использования.
• China Chopper : легкий, но мощный инструмент, который предпочитают группы, создающие постоянные угрозы (APT), особенно те, которые связаны с Китаем.

Эксплуатация бэкдоров внутри бэкдоров

Интересно, что WatchTowr Labs также обнаружила случаи, когда сами веб-шеллы были бэкдорированы их создателями. Эти модификации непреднамеренно сливали информацию об их местоположении, позволяя дополнительным субъектам угроз захватывать контроль над скомпрометированными системами.

Риски заброшенных доменов

WatchTowr Labs не в первый раз демонстрирует потенциальные риски заброшенной инфраструктуры. Ранее компания приобрела устаревший домен сервера WHOIS для домена верхнего уровня (TLD) .mobi. Несмотря на миграцию на новый сервер, более 135 000 уникальных систем продолжали взаимодействовать со старым доменом, раскрывая конфиденциальные системы, принадлежащие частным компаниям, правительственным агентствам и военным организациям по всему миру.

Злоумышленники тоже совершают ошибки

Успех этой операции служит суровым напоминанием о том, что киберпреступники не непогрешимы. Просроченные домены, неисправленные уязвимости и плохо обслуживаемые системы — это уязвимости, которые могут повлиять как на атакующих, так и на защитников.

Ключевые выводы по кибербезопасности

1. Мониторинг и обновление критически важных доменов : организации должны контролировать домены, связанные с критически важными системами, чтобы предотвратить их нецелевое использование.
2. Аудит устаревшей инфраструктуры : убедитесь, что старые системы, домены и службы либо безопасно выведены из эксплуатации, либо правильно перенесены.
3. Синкхолинг как защитная стратегия : этические исследования и инициативы по синкхолингу могут помочь снизить текущие угрозы со стороны заброшенной вредоносной инфраструктуры.
4. Patch and Secure Backdoors : Злоумышленники часто повторно используют одни и те же инструменты. Обнаруживайте и нейтрализуйте веб-шеллы, чтобы предотвратить последующую эксплуатацию.

Заключение

Взлом 4000 бэкдоров через просроченные домены демонстрирует как постоянство устаревших угроз, так и креативные решения, доступные профессионалам в области кибербезопасности. Хотя операция подчеркивает критическую уязвимость в цифровой экосистеме, она также демонстрирует потенциал для прерывания вредоносных кампаний с помощью стратегических контрмер.

Организации должны отдавать приоритет проактивному управлению инфраструктурой и сохранять бдительность, чтобы не стать жертвами собственного надзора. В борьбе с киберпреступностью даже заброшенные активы могут стать ключом к восстановлению контроля.