研究人员通过注册用于控制后门程序的过期域名,成功劫持了4000多个虽被遗弃但仍活跃的网站后门,并使其通信基础设施陷入瘫痪。
部分活跃的恶意软件(网络后门)被部署在高调目标(包括政府和大学系统)的服务器上,一旦有人控制这些通信域名,便能执行指令。
攻击安全机构WatchTowr Labs与Shadowserver基金会合作,阻止这些域名及其对应的受害者落入恶意行为者之手。
发现数千个被突破的系统
后门是指被植入受攻击系统中的恶意工具或代码,允许未经授权的远程访问和控制。威胁行为者通常利用后门进行持续访问,并在受攻击系统中执行进一步攻击的指令。
WatchTowr研究人员开始搜索各种网络后门中的域名,并购买其中已过期的域名,从而基本上控制了这些后门。
在建立日志系统后,这些被遗弃但仍活跃的恶意软件开始发送请求,使研究人员能够识别出至少部分受害者。
通过注册40多个域名,研究人员收到来自4000多个被突破系统的通信尝试,这些系统试图“回连”到攻击者。
注册域名示例(来源:WatchTowr)
研究人员发现了多种后门类型,包括“经典”的r57shell、功能更强大的c99shell(提供文件管理和暴力破解功能)以及常与APT组织相关联的“中国菜刀”网络后门。
报告中甚至提到一个后门展现出与Lazarus组织相关的行为,但随后澄清这很可能是其他行为者重用了该威胁行为者的工具。
在被突破的机器中,WatchTowr发现了中国政府机构(包括法院)中的多个系统、被攻破的尼日利亚政府司法系统以及孟加拉国政府网络中的系统。
此外,泰国、中国和韩国的教育机构中也发现了受感染的系统。
WatchTowr将劫持域名的管理责任移交给Shadowserver基金会,以确保这些域名未来不会被恶意接管。Shadowserver目前正在将所有来自被突破系统的流量吸引到其域名的陷阱中。
WatchTowr的研究虽然并不复杂,但表明恶意软件运营中的过期域名仍可能为新网络犯罪分子所用,他们只需注册控制域名便能获取一些受害者。
发表评论