超4000个Web后门通过注册过期域名被劫持
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
研究人员发现超过4000个被遗弃的Web后门被黑客利用过期域名重新控制,显示出过时基础设施的安全风险。攻击者通过Web Shell进行后渗透,窃取控制权。
🎯
关键要点
- 研究人员发现超过4000个被遗弃的Web后门被黑客利用过期域名重新控制。
- 黑客通过获取过期域名访问数千个受感染的系统,包括政府和大学的系统。
- 这种自动化的批量入侵方法显示出依赖过时基础设施的重大安全风险。
- 攻击者通过Web Shell进行后渗透,Web Shell是在漏洞被利用后部署的代码片段。
- Web Shell种类繁多,包括简单的命令执行版本和复杂的功能版本。
- R57shell是一种流行的Web Shell,能够泄露新部署的Shell位置给创建者。
- c99shell后门允许原作者访问运行Web Shell的主机,使用硬编码的登录名和密码。
- 攻击者可以利用@extract函数覆盖硬编码的凭据变量。
- 研究人员识别了APT37使用的后门,该后门通过伪装成GIF图像获取请求的信标请求。
- 超过3900个受感染的独特域名正在使用此后门,包括来自尼日利亚政府网站的请求。
- 攻击者使用带有密码的Web Shell进行登录,密码以明文形式传输到日志服务器。
➡️
