期限切れの悪意のあるドメインを利用して、4,000件以上のバックドアへ侵入

期限切れの悪意のあるドメインを利用して、4,000件以上のバックドアへ侵入

 WatchTowr Labsの研究者と Shadowserver Foundationは放置されたドメインやバックドアを利用して、4,000を超えるユニークな侵害されたシステムを発見し、それらを追跡しました。

バックドアへの侵入概要

バックドアは侵害したシステムへ永続性を確保したり、アクセス制御を行う悪意のあるツールやコードです。

研究者らは以下の手順で、放置された悪意のあるシェルに利用されているドメインを探し、期限切れのものを購入してハッカーや脅威アクターが利用していたバックドアを乗っ取りました。

※ドメイン管理はShadowserver Foundationへ引き渡しシンクホール化済み

研究者が行った手順

  1. インターネット上に公開されているWebシェルを収集。
  2. コードの難読化を解除し、悪用されているドメインを特定。
  3. 1で放置されたドメインをAWS Route53を使用して登録。
  4. 登録したドメインで、侵害されたシステムのリクエストをログとして収集。

研究者が取得した放置されていたドメイン

研究者らは 40 を超える放置されていた悪意あるドメインをAWSへ登録し、4,000 を超える侵害されたシステムからのログを管理下に置きました。

Shell name Referenced domain
~mysterious who knows~ 6634596.com
marion001.php aljazeera7.com
~mysterious who knows~ alturks.com
~mysterious who knows~ caspian-pirates.org
EgY_SpIdEr ShElL V2 csthis.com
~mysterious who knows~ dcvi.net
NetworkFileManagerPHP drakdandy.net
Shell [ci] . Biz emp3ror.com
PHPJackal flyphoto.us
Kodlama guerrilladns.com
Predator h0ld-up.info
dhie-Q fx29sh v1 06.2008 h4cks.in
Nix remote web shell hackru.info
iMHaBiRLiGi imhabirligi.com
iMHaBiRLiGi nettekiadres.com
Ajax/PHP Command Shell ironwarez.info
ASP一句话客户端< jbl86.com
SyRiAn Sh3ll V7 library-ar.com
RedHat Hacker ll4best.com
r57shell localshell.net
Locus7Shell Modified by #!physx^ locus7s.com
星外-华众-新网-虚拟主机提权专用Webshell love-1-love.com
解包unpack.vbs lpl38.com
传说中的草泥马4.0.asp odayexp.com
Locus7s Modified c100 Shell precision-gaming.com
c99 rootshell-security.net
SimAttacker shellci.biz
c99_w4cking templatez.org
~mysterious who knows~ w2img.com
r57gentr dQ99Sh waterski21.com
get.php yywjw.com

 

発見されたバックドア

  • r57shell:
    シンプルなファイル管理やコマンド実行機能を持つ。
  • c99shell:
    より高度なファイル管理機能とブルートフォース攻撃の能力。
  • China Chopper:
    APT(高度な持続的脅威)グループによく使用されるWebシェル。

バックドアで侵入されていた被害組織

ログを解析した後、放棄されたもののまだアクティブなマルウェアはリクエストを送信し始め、研究者は少なくとも一部の被害者を特定できるようになりました。

  • 政府機関:
    • ナイジェリア、バングラデシュ、中国などの政府ネットワーク。
    • ナイジェリア連邦高等裁判所のシステム。
  • 教育機関:
    • タイ、中国、韓国の大学や高等教育機関。

さらにLazarus Group に関連するバックドアも発見しましたがこれは、他の脅威アクターや組織が再利用した可能性が高いとしています。

また、攻撃者のトラフィックソースは香港と中国からの偏りが顕著であったとしています。

TOPへ