廢棄網域被回收,暴露了受感染系統上的 4,000 個隱藏後門
網路犯罪分子經常利用後門(旨在繞過傳統安全措施的隱藏式網關)來維持對受感染系統的存取。令人驚訝的是,網路安全研究人員展示瞭如何回收廢棄的基礎設施(例如過期的網域)來劫持這些後門,從而有效地扭轉攻擊者的局面。
WatchTowr Labs 最近透露,他們以每個域名 20 美元的價格購買了 40 多個過期域名,成功控制了 4,000 多個獨特的網路後門。這項舉措強調了廢棄數位基礎設施的危險和破壞惡意活動的機會。
Table of Contents
過期域名如何成為網關
所涉及的後門許多是透過 Web shell 部署的,依賴特定的網域進行命令和控制 (C2) 通訊。當這些網域過期或被其原始所有者放棄時,WatchTowr Labs 收購了它們並將流量重新導向到它們的伺服器,從而有效地「淹沒」了惡意基礎設施。
這使得研究人員能夠:
- 監視信標活動:受感染的主機「報告」到新控制的網域。
- 繪製妥協範圍:識別數千個受影響的系統,包括政府和學術實體。
- 假設指揮系統:理論上,他們可以完全控制受感染的主機,儘管道德協議阻止了這種行為。
被劫持後門的受害者
已確定的受損系統包括:
- 孟加拉、中國和奈及利亞的政府實體。
- 中國、韓國和泰國的學術機構。
這種廣泛的妥協凸顯了此類後門活動的全球影響力以及關鍵數位基礎設施無法維護的嚴重影響。
Web Shell 阿森納
後門的複雜性和功能各不相同。觀察到的一些最著名的 Web shell 包括:
- 簡單的 PHP Web Shell :能夠執行攻擊者提供的單一指令。
- c99shell 和 r57shell :用於執行任意指令、檔案操作和部署其他有效負載的進階工具。它們甚至包括暴力破解 FTP 伺服器或使用後自行刪除的功能。
- China Chopper :一種輕量級但功能強大的工具,受到高級持續威脅(APT)組織,特別是與中國相關的組織的青睞。
利用後門內部的後門
有趣的是,WatchTowr Labs 也發現了 Web shell 本身被其創建者設定後門的案例。這些修改無意中洩露了有關其位置的信息,使其他威脅行為者能夠控制受感染的系統。
廢棄域名的風險
這並不是 WatchTowr Labs 第一次展示廢棄基礎設施的潛在風險。此前,該公司為 .mobi 頂級網域 (TLD) 購買了舊版 WHOIS 伺服器網域。儘管遷移到新伺服器,但仍有超過 135,000 個獨特系統繼續與舊網域通信,從而暴露了屬於全球私人公司、政府機構和軍事組織的敏感系統。
攻擊者也會犯錯
這次行動的成功清楚地提醒我們,網路犯罪者並非萬無一失。過期的域、未修補的漏洞和維護不善的系統都是可能影響攻擊者和防禦者的漏洞。
網路安全的關鍵要點
- 監控和更新關鍵域:組織必須保持對與關鍵系統相關的域的控制,以防止其濫用。
- 審核遺留基礎架構:確保舊系統、網域和服務安全退役或正確遷移。
- 沉洞作為防禦策略:道德研究和沈洞計畫可以幫助減輕廢棄惡意基礎設施的持續威脅。
- 修補和安全後門:攻擊者經常重複使用相同的工具。偵測並消除 Web shell,以防止後續利用。
結論
透過過期網域劫持 4,000 個後門揭示了遺留威脅的持續存在以及網路安全專業人員可以使用的創意解決方案。雖然這次行動凸顯了數位生態系統中的一個關鍵漏洞,但它也展示了透過策略對策破壞惡意活動的潛力。
組織必須優先考慮主動的基礎設施管理,並保持警惕,避免成為自身監督的受害者。在打擊網路犯罪的過程中,即使是被遺棄的資產也可以成為重新獲得控制權的關鍵。
