期限切れの悪意のあるドメインを利用して、4,000件以上のバックドアへ侵入
WatchTowr Labsの研究者と Shadowserver Foundationは放置されたドメインやバックドアを利用して、4,000を超えるユニークな侵害されたシステムを発見し、それらを追跡しました。
バックドアへの侵入概要
バックドアは侵害したシステムへ永続性を確保したり、アクセス制御を行う悪意のあるツールやコードです。
研究者らは以下の手順で、放置された悪意のあるシェルに利用されているドメインを探し、期限切れのものを購入してハッカーや脅威アクターが利用していたバックドアを乗っ取りました。
※ドメイン管理はShadowserver Foundationへ引き渡しシンクホール化済み
研究者が行った手順
- インターネット上に公開されているWebシェルを収集。
- コードの難読化を解除し、悪用されているドメインを特定。
- 1で放置されたドメインをAWS Route53を使用して登録。
- 登録したドメインで、侵害されたシステムのリクエストをログとして収集。
研究者が取得した放置されていたドメイン
研究者らは 40 を超える放置されていた悪意あるドメインをAWSへ登録し、4,000 を超える侵害されたシステムからのログを管理下に置きました。
Shell name | Referenced domain |
---|---|
~mysterious who knows~ | 6634596.com |
marion001.php | aljazeera7.com |
~mysterious who knows~ | alturks.com |
~mysterious who knows~ | caspian-pirates.org |
EgY_SpIdEr ShElL V2 | csthis.com |
~mysterious who knows~ | dcvi.net |
NetworkFileManagerPHP | drakdandy.net |
Shell [ci] . Biz | emp3ror.com |
PHPJackal | flyphoto.us |
Kodlama | guerrilladns.com |
Predator | h0ld-up.info |
dhie-Q fx29sh v1 06.2008 | h4cks.in |
Nix remote web shell | hackru.info |
iMHaBiRLiGi | imhabirligi.com |
iMHaBiRLiGi | nettekiadres.com |
Ajax/PHP Command Shell | ironwarez.info |
ASP一句话客户端< | jbl86.com |
SyRiAn Sh3ll V7 | library-ar.com |
RedHat Hacker | ll4best.com |
r57shell | localshell.net |
Locus7Shell Modified by #!physx^ | locus7s.com |
星外-华众-新网-虚拟主机提权专用Webshell | love-1-love.com |
解包unpack.vbs | lpl38.com |
传说中的草泥马4.0.asp | odayexp.com |
Locus7s Modified c100 Shell | precision-gaming.com |
c99 | rootshell-security.net |
SimAttacker | shellci.biz |
c99_w4cking | templatez.org |
~mysterious who knows~ | w2img.com |
r57gentr dQ99Sh | waterski21.com |
get.php | yywjw.com |
発見されたバックドア
- r57shell:
シンプルなファイル管理やコマンド実行機能を持つ。 - c99shell:
より高度なファイル管理機能とブルートフォース攻撃の能力。 - China Chopper:
APT(高度な持続的脅威)グループによく使用されるWebシェル。
バックドアで侵入されていた被害組織
ログを解析した後、放棄されたもののまだアクティブなマルウェアはリクエストを送信し始め、研究者は少なくとも一部の被害者を特定できるようになりました。
- 政府機関:
- ナイジェリア、バングラデシュ、中国などの政府ネットワーク。
- ナイジェリア連邦高等裁判所のシステム。
- 教育機関:
- タイ、中国、韓国の大学や高等教育機関。
さらにLazarus Group に関連するバックドアも発見しましたがこれは、他の脅威アクターや組織が再利用した可能性が高いとしています。
また、攻撃者のトラフィックソースは香港と中国からの偏りが顕著であったとしています。