Meer dan 4.000 achterdeuren worden gecontroleerd via verlopen domeinen: de gevaarlijke realiteit van digitale verwaarlozing.

Een recente studie uitgevoerd door WatchTowr Labs en de Shadowserver Foundation heeft een veelal genegeerde kwetsbaarheid aan het licht gebracht: het gebruik van verlopen domeinen in malware-infrastructuren en aanvalstools. In een poging om misbruik ervan in de toekomst te voorkomen, registreerden de onderzoekers meer dan 40 verlaten domeinen en slaagden erin de communicatie van meer dan 4.000 gecompromitteerde systemen wereldwijd te onderscheppen, en onthulden zo de omvang van het probleem.


Digitale achterdeurtjes: een aanhoudende bedreiging

Achterdeurtjes of “web shells” zijn kwaadaardige tools die in gecompromitteerde systemen worden geïmplementeerd om aanvallers onbevoegde externe toegang te verlenen. Ze stellen toegang tot het uitvoeren van commando’s, het beheren van bestanden of zelfs het lanceren van aanvullende aanvallen tegen het getroffen systeem.

Wat bijzonder zorgwekkend is, is dat veel van deze achterdeurtjes actief blijven voor jaren, zich periodiek verbindend met domeinen die eerder door aanvallers zijn opgezet. Wanneer deze domeinen verlopen, ontstaan er nieuwe kansen voor anderen (legitiem of niet) om ze te registreren en controle over de achterdeurtjes te nemen.


De studie: het onderscheppen van de controle over achterdeurtjes

De onderzoekers van WatchTowr Labs, in samenwerking met Shadowserver, hebben een experiment uitgevoerd om de implicaties van deze achtergelaten infrastructuur te verkennen. Ze registreerden meer dan 40 domeinen die voorheen controle hadden over actieve achterdeurtjes, en installeerden een registratiesysteem om de activiteit te monitoren.

Verbazende resultaten

Na het registreren van de domeinen begonnen de gecompromitteerde systemen zich automatisch “aan te melden” bij de nieuwe controleurs. De verzamelde gegevens onthulden:

  • Meer dan 4.000 gecompromitteerde systemen die probeerden verbinding te maken.
  • Achterdeurtjes in overheidservers van landen zoals China, Nigeria en Bangladesh.
  • Getroffen systemen in universiteiten van Thailand, Zuid-Korea en China.

Onder de geïdentificeerde tools bevonden zich enkele beruchte zoals:

  • r57shell en c99shell: bekend om hun geavanceerde functionaliteiten, waaronder brute force, uitvoering van commando’s en bestandsbeheer.
  • China Chopper: een populaire tool onder geavanceerde aanhoudende bedreigingsgroepen (APT).

Implicaties van de bevindingen

De studie benadrukt een ​​sleutelprobleem in de moderne cyberveiligheid: het gebrek aan beheer van door aanvallers achtergelaten infrastructuren. Deze achtergelaten achterdeurtjes kunnen gemakkelijk door nieuwe cybercriminelen worden hergebruikt om toegang te krijgen tot eerder gecompromitteerde systemen, en dat allemaal voor de minimale kosten van het registreren van een domein.

Geïdentificeerde problemen

  1. Hergebruikbare infrastructuur: Aanvallers kunnen het eerdere werk van andere hackers benutten door simpelweg verlopen domeinen te registreren.
  2. Compromittering van gevoelige systemen: De aanwezigheid van achterdeurtjes in overheids- en onderwijssystemen benadrukt het gebrek aan effectieve controles in kritieke infrastructuren.
  3. Wereldwijde impact: De gecompromitteerde systemen zijn niet beperkt tot een enkele sector of regio, wat de wijdverspreide aard van dit probleem aantoont.

Een proactieve oplossing: de rol van Shadowserver

Na het identificeren van de gecompromitteerde systemen, droeg WatchTowr de controle over de geregistreerde domeinen over aan de Shadowserver Foundation. Deze non-profitorganisatie is toegewijd aan internetveiligheid en is momenteel bezig met het “zinken” van al het verkeer van de getroffen systemen naar hun eigen servers, waardoor wordt voorkomen dat ze opnieuw in verkeerde handen vallen.


De toekomst van cyberveiligheid en verlaten infrastructuren

Dit geval benadrukt het belang van het verantwoord beheren van digitale infrastructuren, zelfs die welke voor kwaadaardige doeleinden worden gebruikt. Het hergebruiken van verlopen domeinen brengt niet alleen risico’s met zich mee voor de gecompromitteerde systemen, maar onthult ook een gebrek aan bewustzijn over dit probleem.

Belangrijke aanbevelingen

  1. Voortdurend monitoren: Bedrijven en overheden moeten regelmatig audits uitvoeren om mogelijke achterdeurtjes en andere kwetsbaarheden te identificeren.
  2. Domeinbeheer: Zorgen dat eerder gebruikte domeinen, zelfs in beveiligingsexperimenten, goed beheerd worden om hergebruik te voorkomen.
  3. Wereldwijde samenwerking: De samenwerking tussen organisaties als WatchTowr en Shadowserver toont het belang aan van samenwerken om risico’s te verminderen.

Conclusie

De ontdekking van meer dan 4.000 actieve achterdeurtjes verbonden met verlopen domeinen toont een ernstige kwetsbaarheid in de huidige digitale veiligheid. Dit soort onderzoek benadrukt de noodzaak om niet alleen actieve bedreigingen aan te pakken, maar ook infrastructuren die, hoewel verlaten, nog steeds een significant risico vormen. Proactieve samenwerking en verantwoordelijk gebruik van deze gegevens zal essentieel zijn voor het versterken van de wereldwijde cyberveiligheid.

via: watchtowr en Bleeping computing