Övergivna domäner återtas för att avslöja 4 000 dolda bakdörrar på komprometterade system

Cyberkriminella utnyttjar ofta bakdörrar – dolda gateways utformade för att kringgå traditionella säkerhetsåtgärder – för att upprätthålla åtkomst till komprometterade system. I en överraskande vändning har cybersäkerhetsforskare visat hur övergiven infrastruktur, som utgångna domäner, kan återvinnas för att kapa dessa bakdörrar, vilket effektivt vänder bordet mot angripare.

WatchTowr Labs avslöjade nyligen att de lyckades få kontroll över 4 000 unika webbdörrar genom att köpa mer än 40 utgångna domännamn för så lite som $20 vardera. Detta initiativ belyser både farorna med övergiven digital infrastruktur och möjligheterna att störa skadlig aktivitet.

Hur utgångna domäner blev en gateway

Bakdörrarna i fråga, många utplacerade via webbskal, förlitade sig på specifika domännamn för kommando-och-kontroll (C2) kommunikation. När dessa domäner gick ut eller övergavs av sina ursprungliga ägare, förvärvade WatchTowr Labs dem och dirigerade om trafiken till deras servrar, vilket effektivt "slukade" den skadliga infrastrukturen.

Detta gjorde det möjligt för forskare att:

  1. Övervaka beaconing-aktivitet : Kompromissade värdar "rapporterade" till de nyligen kontrollerade domänerna.
  2. Kartlägg kompromissens räckvidd : Identifiera tusentals berörda system, inklusive myndigheter och akademiska enheter.
  3. Hypotetiskt behärska systemen : Teoretiskt sett kunde de ha tagit full kontroll över de komprometterade värdarna, även om etiska protokoll förhindrade sådana handlingar.

Offren för kapade bakdörrar

Bland de komprometterade systemen som identifierades var:

  • Statliga enheter i Bangladesh, Kina och Nigeria .
  • Akademiska institutioner i Kina, Sydkorea och Thailand .

Denna utbredda kompromiss understryker den globala räckvidden för sådana bakdörrskampanjer och de allvarliga konsekvenserna av att lämna kritisk digital infrastruktur oförhållen.

Web Shell Arsenal

Bakdörrarna varierade i komplexitet och funktionalitet. Några av de mest anmärkningsvärda webbskalen som observerats inkluderar:

  • Enkla PHP-webbskal : Kan köra enstaka kommandon från angripare.
  • c99shell och r57shell : Avancerade verktyg för att exekvera godtyckliga kommandon, filoperationer och distribuera ytterligare nyttolaster. De inkluderade till och med funktioner för att brute-force FTP-servrar eller självta bort efter användning.
  • China Chopper : Ett lätt men kraftfullt verktyg som gynnas av avancerade persistent hot-grupper (APT), särskilt de som är kopplade till Kina.

Utnyttja bakdörrar inuti bakdörrar

Intressant nog upptäckte WatchTowr Labs också fall där själva webbskalen hade backdoors av deras skapare. Dessa ändringar läckte oavsiktligt information om deras platser, vilket gjorde det möjligt för ytterligare hotaktörer att ta kontroll över de komprometterade systemen.

Riskerna med övergivna domäner

Det här är inte första gången WatchTowr Labs har visat de potentiella riskerna med övergiven infrastruktur. Tidigare köpte företaget en äldre WHOIS-serverdomän för toppdomänen .mobi (TLD). Trots migreringen till en ny server fortsatte över 135 000 unika system att kommunicera med den gamla domänen, vilket avslöjade känsliga system som tillhör privata företag, statliga myndigheter och militära organisationer över hela världen.

Angripare gör också misstag

Framgången med denna operation tjänar som en skarp påminnelse om att cyberbrottslingar inte är ofelbara. Utgångna domäner, oparpade sårbarheter och dåligt underhållna system är sårbarheter som kan påverka både angripare och försvarare.

Viktiga takeaways för cybersäkerhet

  1. Övervaka och förnya kritiska domäner : Organisationer måste behålla kontrollen över domäner som är associerade med kritiska system för att förhindra missbruk av dem.
  2. Granska äldre infrastruktur : Se till att gamla system, domäner och tjänster antingen avvecklas på ett säkert sätt eller migreras på rätt sätt.
  3. Sinkholing som en defensiv strategi : Etisk forskning och slukhålsinitiativ kan hjälpa till att mildra pågående hot från övergiven skadlig infrastruktur.
  4. Patcha och säkra bakdörrar : Angripare återanvänder ofta samma verktyg. Upptäck och neutralisera webbskal för att förhindra efterföljande utnyttjande.

Slutsats

Kapningen av 4 000 bakdörrar genom utgångna domäner avslöjar både hur länge äldre hot är kvar och de kreativa lösningar som är tillgängliga för cybersäkerhetsproffs. Även om operationen belyser en kritisk sårbarhet i det digitala ekosystemet, visar den också potentialen att störa skadliga kampanjer genom strategiska motåtgärder.

Organisationer måste prioritera proaktiv infrastrukturförvaltning och vara vaksamma för att undvika att bli offer för sin egen tillsyn. I kampen mot cyberbrottslighet kan till och med övergivna tillgångar hålla nyckeln till att återta kontrollen.

År Zane
January 14, 2025
Computer Security
Svenska
January 14, 2025
Computer Security

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

12 days sedan

Notera: Någon har lagt till dig som sin e-postbedrägeri för...

10 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Ett potentiellt allvarligt hot: Trojan:Win32/Suschil!rfn

19 days sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.