研究人员发现,超过4000个被遗弃但仍活跃的Web后门被劫持,黑客通过注册过期域名重新控制了这些后门的通信基础设施。通过获取这些域名,可以访问数千个受感染的系统,其中包括政府、大学和其他实体的系统。
这种“自动化的批量入侵”方法表明,继续依赖过时基础设施可能会带来重大安全风险,攻击者可能会利用废弃系统进行恶意活动。
攻击者可以通过使用 Web Shell 进行后渗透活动。 Web Shell 是在漏洞被成功利用后部署在 Web 服务器上的代码片段。
Webshell 种类繁多,包括可以执行命令的简单版本,以及具备文件管理、代码执行、自我删除、后门部署、 FTP 暴力破解和 SQL 客户端等功能的复杂版本。
R57shell 是一种流行的 Web Shell,会通过 HTTP Referrer 标头将新部署的 Shell 位置泄露给创建者,攻击者可以利用这一点从部署该 Shell 的黑客手中窃取控制权。
常见的后门允许原作者访问任何运行 Web Shell 的主机,因为他们提供了一个 c99shell 后门的示例,其中登录名和密码被硬编码在代码中。
为了执行身份验证检查,c99shell 后门使用了 PHP_AUTH_USER 和 PHP_AUTH_PW。
攻击者可以利用 @extract 函数(该函数旨在覆盖与当前范围相关的变量)来覆盖硬编码的凭据变量。
研究人员从互联网上收集了 Web Shell 分析传入请求,识别了 APT37 使用后门,该后门通过发送伪装成 GIF 图像获取请求的信标请求。
根据 watchtowers Labs 的数据,超过3900个受感染的独特域名正在使用此后门,包括来自政府域名的请求,例如尼日利亚政府网站 fhc.gov.ng 。
攻击者使用带有密码的 Web Shell 进行登录,密码以明文形式传输到日志服务器,并修改了代码以指向不同的 URL,但仍将数据发送到日志服务器。
参考链接:https://cybersecuritynews.com/researchers-hijacked-4000-backdoors/