WatchTowr Labs 的网络安全研究人员发现了一种利用与受感染系统中的后门相关的废弃域名的令人不安的方法。
通过购买网络外壳(黑客使用的后门)中引用的未注册域名,该团队以最小的努力成功控制了全球数千个系统。
此前,他们曾对.MOBI 域名系统中的漏洞进行过研究,该研究强调了过期基础设施的类似问题。
大规模自动黑客攻击
WatchTowr 的最新研究针对的是废弃的 Web Shell 后门,尤其是嵌入在其他恶意工具中的后门。
通过注册 Web Shell 曾经使用过的过期域名,该团队能够劫持流量并可能控制受感染的系统。
这种漏洞之所以有效,是因为许多 Web Shell 都包含对其创建者控制的域的回调,用于更新或记录。
当这些域过期时,攻击者(或研究人员)可以购买它们,从而有效地继承对受感染系统的访问权限。
使用这种技术,WatchTowr 拦截了来自 4,000 多个独特后门的流量,跟踪受感染主机“登录”重新注册的域的情况。
收集到的数据总计超过 300MB 的日志,显示受害对象包括孟加拉国、中国和尼日利亚的政府,以及韩国、泰国和中国的大学。
许多被拦截的后门都使用了较旧的黑客工具,例如臭名昭著的 r57shell 和 c99shell,这些工具都有自己的后门,允许原作者劫持其他黑客的操作。
此次攻击凸显了废弃基础设施日益严重的问题。
Web shell 是成功入侵后部署的恶意脚本,通常依靠硬编码的域或 IP 地址进行通信。
当攻击者无法控制这些域时,他们就为其他人留下了一扇“大门”。
WatchTowr 通过系统地收集和分析流行的 Web Shell、识别对过期域名的引用并重新注册这些域名,发现了此漏洞。
该团队以每个域名约 20 美元的价格获得了 40 多个域名,并设置了服务器来监控传入连接。
一个例子是与 Lazarus Group 相关的旧后门,其中包括一种通过 HTTP 引用标头发送受感染系统的 URL 的机制。
通过获取其回调域,WatchTowr 拦截了数千个受感染系统的流量。
废弃基础设施的风险
这项研究呼应了 WatchTowr 之前在 .MOBI 案例中得出的结论,在该案例中,过期的 WHOIS 域名允许他们破坏关键的互联网基础设施。
反复出现的主题是被遗忘或维护不善的资源所带来的安全风险。
虽然 WatchTowr 已采取措施降低这种风险与 Shadowserver Foundation 等组织合作,对新购买的域名进行封存;但废弃基础设施的规模之大凸显了互联网安全面临的持续挑战。
