超4000个Web后门通过注册过期域名被劫持

admin 2025年1月11日10:53:40评论8 views字数 916阅读3分3秒阅读模式

超4000个Web后门通过注册过期域名被劫持

关键词

网络攻击

超4000个Web后门通过注册过期域名被劫持

研究人员利用一种新颖的攻击媒介,劫持了其他后门中的废弃后门,这些后门依赖于过期或废弃的基础设施,例如过期的域。

通过获取这些域名,研究人员可以访问数千个受感染的系统,其中包括政府(孟加拉国、中国、尼日利亚)、大学(泰国、中国、韩国)和其他实体的系统。 

这种“自动驾驶大规模黑客攻击”方式表明,继续依赖过时的基础设施以及攻击者利用废弃系统进行恶意活动的可能性会带来重大的安全风险。 

超4000个Web后门通过注册过期域名被劫持

攻击者可以通过使用 Web Shell 进行后利用活动,Web Shell 是在成功利用漏洞后部署在 Web 服务器上的代码片段。

Webshell 种类繁多,简单的可以执行命令,复杂的则可以具有文件管理、代码执行、自我删除、后门部署、FTP暴力破解、SQL 客户端等功能。

R57shell 是一种流行的 Web Shell,它通过 HTTP referrer 标头将新部署的 Shell 的位置泄露给其创建者,攻击者可利用该标头从部署 Shell 的黑客手中窃取该 Shell 的控制权。

常见的后门允许原作者访问任何运行 Web Shell 的主机,因为他们提供了一个 c99shell 后门的示例,其中登录名和密码在代码中是硬编码的。 

为了执行身份验证检查,c99shell 后门使用了 PHP_AUTH_USER 和 PHP_AUTH_PW。 

超4000个Web后门通过注册过期域名被劫持

攻击者可以利用@extract 函数,该函数旨在覆盖与当前范围相关的变量,以便覆盖硬编码的凭证变量。  

研究人员从互联网上收集了 Web Shell,分析了传入的请求,并确定了 APT37 使用的后门,该后门发送伪装成 GIF 图像获取请求的信标请求。 

据 瞭望塔实验室称,超过 3900 个受感染的唯一域名正在使用此后门,并且发现来自政府域名的请求,包括尼日利亚政府网站 fhc.gov.ng。 

攻击者使用带密码的Webshell进行登录,将密码以明文形式传输到日志服务器,并修改代码以指向不同的URL,但仍将数据发送到日志服务器。

来源:https://cybersecuritynews.com/researchers-hijacked-4000-backdoors/

   END  

原文始发于微信公众号(安全圈):【安全圈】超4000个Web后门通过注册过期域名被劫持

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日10:53:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   超4000个Web后门通过注册过期域名被劫持https://cn-sec.com/archives/3617975.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息