freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

超4000个Web后门通过注册过期域名被劫持
2025-01-10 11:00:00
所属地 上海

研究人员发现,超过4000个被遗弃但仍活跃的Web后门被劫持,黑客通过注册过期域名重新控制了这些后门的通信基础设施。通过获取这些域名,可以访问数千个受感染的系统,其中包括政府、大学和其他实体的系统。

这种“自动化的批量入侵”方法表明,继续依赖过时基础设施可能会带来重大安全风险,攻击者可能会利用废弃系统进行恶意活动。

攻击者可以通过使用 Web Shell 进行后渗透活动。 Web Shell 是在漏洞被成功利用后部署在 Web 服务器上的代码片段。

Webshel​​l 种类繁多,包括可以执行命令的简单版本,以及具备文件管理、代码执行、自我删除、后门部署、 FTP 暴力破解和 SQL 客户端等功能的复杂版本。

R57shell 是一种流行的 Web Shell,会通过 HTTP Referrer 标头将新部署的 Shell 位置泄露给创建者,攻击者可以利用这一点从部署该 Shell 的黑客手中窃取控制权。

常见的后门允许原作者访问任何运行 Web Shell 的主机,因为他们提供了一个 c99shell 后门的示例,其中登录名和密码被硬编码在代码中。

为了执行身份验证检查,c99shell 后门使用了 PHP_AUTH_USER 和 PHP_AUTH_PW。

攻击者可以利用 @extract 函数(该函数旨在覆盖与当前范围相关的变量)来覆盖硬编码的凭据变量。

研究人员从互联网上收集了 Web Shell 分析传入请求,识别了 APT37 使用后门,该后门通过发送伪装成 GIF 图像获取请求的信标请求。

根据 watchtowers Labs 的数据,超过3900个受感染的独特域名正在使用此后门,包括来自政府域名的请求,例如尼日利亚政府网站 fhc.gov.ng 。

攻击者使用带有密码的 Web Shell 进行登录,密码以明文形式传输到日志服务器,并修改了代码以指向不同的 URL,但仍将数据发送到日志服务器。

参考链接:https://cybersecuritynews.com/researchers-hijacked-4000-backdoors/

# 资讯 # 安全漏洞 # web安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者