小百科,大世界
首页 / 计算机 / IT资讯

[2]注册过期域名4000 多个后门被劫持 繁體

在研究人员注册了用于指挥这些后门的过期域名后,4000 多个被遗弃但仍处于活动状态的网络后门被劫持,其通信基础设施被破坏。

一些活的恶意软件(网络外壳)被部署在包括政府和大学系统在内的高知名度目标的网络服务器上,随时准备执行任何控制通信域的工具发出的命令。

攻击性安全机构 WatchTowr Labs 的研究人员与影子服务器基金会合作,防止这些域和相应的受害者落入恶意行为者之手。

发现数千个被攻破的系统

后门是植入被入侵系统的恶意工具或代码,允许未经授权的远程访问和控制。威胁行为者通常利用它们进行持续访问,并在被入侵系统上执行进一步攻击的命令。

WatchTowr 的研究人员开始在各种网络外壳中搜索域名,并购买了任何已过期的域名,从根本上控制了后门。

在建立了一个日志系统后,被遗弃但仍处于活动状态的恶意软件开始发送请求,使研究人员至少可以识别出部分受害者。

通过注册 40 多个域名,研究人员收到了来自 4000 多个受损系统试图 “打电话回家 ”的通信。


注册域名样本
来源:WatchTowr

研究人员发现了几种后门类型,包括 “经典 ”的 r57shell、更先进的 c99shell(提供文件管理和暴力破解功能),以及经常与 APT 组织联系在一起的 “China Chopper ”网络外壳。

报告甚至还提到了一个与 Lazarus 组织有关的后门,不过报告后来澄清说,这很可能是其他人重复使用了该威胁行为者的工具。

在被入侵的各种机器中,WatchTowr 发现了中国政府基础设施中的多个系统,包括法院、被入侵的尼日利亚政府司法系统和孟加拉国政府网络中的系统。

此外,泰国、中国和韩国的教育机构也发现了受感染的系统。

WatchTowr 将管理被劫持域名的责任移交给 Shadowserver 基金会,以确保这些域名将来不会被接管。Shadowserver 目前正在下沉所有从被入侵系统发送到其域名的流量。

WatchTowr 的研究虽然并不复杂,但表明恶意软件操作中的过期域名仍可为新的网络犯罪分子提供服务,他们只需注册控制域名就能获得一些受害者。

本文翻译自bleepingcomputer 原文链接。如若转载请注明出处。
商务合作,文章发布请联系 anquanke@360.cn

本文由安全客原创发布

转载,请参考转载声明,注明出处: /post/id/303420

安全KER - 有思想的安全新媒体

[来源: 安全客]

首页 / 计算机 / IT资讯
相关连接:
Prev:
52025 年的网络安全 全球冲突成熟的人工智能和群众的智慧
0入选磐安教育应用优秀案例360打造人才培育标杆
1初始访问代理IAB如何出售用户证书
Next:
3超过 66 万台 Rsync 服务器受到代码执行攻击
1CVE20249042在 Kubernetes Windows 节点中发现代码执行漏洞
0360年度勒索软件报告请查收AI催生天价赎金危机
5SAP 修复 NetWeaver 应用服务器中的关键漏洞
4黑色巴斯塔式网络攻击 90 分钟内向收件箱发送 1165 封电子邮件
资源来自网络,仅供参考