回收废弃域名,暴露受感染系统上的 4,000 个隐藏后门
网络犯罪分子经常利用后门(旨在绕过传统安全措施的隐藏网关)来保持对受感染系统的访问。令人惊讶的是,网络安全研究人员已经展示了如何回收废弃的基础设施(例如过期的域名)来劫持这些后门,从而有效地扭转攻击者的局面。
WatchTowr Labs 最近透露,他们通过以每个仅 20 美元的价格购买了 40 多个过期域名,成功控制了 4,000 多个独特的网络后门。这一举措既凸显了废弃数字基础设施的危险,也凸显了阻止恶意活动的机会。
Table of Contents
过期域名如何成为门户
涉案后门很多都是通过 Web Shell 部署的,它们依赖特定域名进行命令与控制 (C2) 通信。当这些域名过期或被原所有者遗弃时,WatchTowr Labs 便会收购这些域名,并将流量重定向到其服务器,从而有效地“封堵”恶意基础设施。
这使得研究人员能够:
- 监控信标活动:受感染的主机“报告”到新控制的域。
- 绘制危害范围图:识别数千个受影响的系统,包括政府和学术实体。
- 假设指挥系统:理论上,他们可以完全控制受感染的主机,尽管道德协议阻止了此类行为。
被劫持的后门的受害者
已发现的受感染系统包括:
- 孟加拉国、中国和尼日利亚的政府实体。
- 中国、韩国和泰国的学术机构。
此次大范围的攻击凸显了此类后门活动的全球影响力,以及关键数字基础设施得不到维护的严重后果。
Web Shell 库
这些后门的复杂性和功能各不相同。观察到的一些最值得注意的 Web Shell 包括:
- 简单的 PHP Web Shell :能够执行攻击者提供的单个命令。
- c99shell 和 r57shell :用于执行任意命令、文件操作和部署额外有效负载的高级工具。它们甚至包括暴力破解 FTP 服务器或使用后自行删除的功能。
- China Chopper :一款轻量但功能强大的工具,受到高级持续性威胁 (APT) 组织的青睐,尤其是与中国有关的组织。
后门内部的后门利用
有趣的是,WatchTowr 实验室还发现了 Web Shell 本身被其创建者植入后门的情况。这些修改无意中泄露了有关其位置的信息,使其他威胁行为者能够控制受感染的系统。
废弃域名的风险
这并不是 WatchTowr Labs 第一次展示废弃基础设施的潜在风险。此前,该公司购买了 .mobi 顶级域名 (TLD) 的旧版 WHOIS 服务器域。尽管迁移到了新服务器,但超过 135,000 个唯一系统仍继续与旧域名通信,从而暴露了全球私营公司、政府机构和军事组织的敏感系统。
攻击者也会犯错误
此次行动的成功提醒我们,网络犯罪分子并非万无一失。过期的域名、未修补的漏洞和维护不善的系统都是可能影响攻击者和防御者的漏洞。
网络安全的关键要点
- 监控和更新关键域:组织必须保持对与关键系统相关的域的控制,以防止其被滥用。
- 审计遗留基础设施:确保旧系统、域和服务安全地退役或正确迁移。
- Sinkholing 作为一种防御策略:道德研究和 Sinkholing 举措可以帮助减轻来自废弃恶意基础设施的持续威胁。
- 修补并保护后门:攻击者经常重复使用相同的工具。检测并消除 Web Shell 以防止后续攻击。
结论
通过过期域名劫持 4,000 个后门既揭示了传统威胁的持续存在,也揭示了网络安全专业人员可用的创新解决方案。虽然这一行动凸显了数字生态系统中的一个关键漏洞,但它也展示了通过战略对策破坏恶意活动的潜力。
组织必须优先考虑主动的基础设施管理,并保持警惕,以免成为自身疏忽的受害者。在打击网络犯罪的过程中,即使是被遗弃的资产也可能是重新获得控制权的关键。
