注册过期域名，4000 多个后门被劫持

在研究人员注册了用于指挥这些后门的过期域名后，4000 多个被遗弃但仍处于活动状态的网络后门被劫持，其通信基础设施被破坏。

一些活的恶意软件（网络外壳）被部署在包括政府和大学系统在内的高知名度目标的网络服务器上，随时准备执行任何控制通信域的工具发出的命令。

攻击性安全机构 WatchTowr Labs 的研究人员与影子服务器基金会合作，防止这些域和相应的受害者落入恶意行为者之手。

发现数千个被攻破的系统

后门是植入被入侵系统的恶意工具或代码，允许未经授权的远程访问和控制。威胁行为者通常利用它们进行持续访问，并在被入侵系统上执行进一步攻击的命令。

WatchTowr 的研究人员开始在各种网络外壳中搜索域名，并购买了任何已过期的域名，从根本上控制了后门。

在建立了一个日志系统后，被遗弃但仍处于活动状态的恶意软件开始发送请求，使研究人员至少可以识别出部分受害者。

通过注册 40 多个域名，研究人员收到了来自 4000 多个受损系统试图 “打电话回家 ”的通信。

注册域名样本
来源：WatchTowr

研究人员发现了几种后门类型，包括 “经典 ”的 r57shell、更先进的 c99shell（提供文件管理和暴力破解功能），以及经常与 APT 组织联系在一起的 “China Chopper ”网络外壳。

报告甚至还提到了一个与 Lazarus 组织有关的后门，不过报告后来澄清说，这很可能是其他人重复使用了该威胁行为者的工具。

在被入侵的各种机器中，WatchTowr 发现了中国政府基础设施中的多个系统，包括法院、被入侵的尼日利亚政府司法系统和孟加拉国政府网络中的系统。

此外，泰国、中国和韩国的教育机构也发现了受感染的系统。

WatchTowr 将管理被劫持域名的责任移交给 Shadowserver 基金会，以确保这些域名将来不会被接管。Shadowserver 目前正在下沉所有从被入侵系统发送到其域名的流量。

WatchTowr 的研究虽然并不复杂，但表明恶意软件操作中的过期域名仍可为新的网络犯罪分子提供服务，他们只需注册控制域名就能获得一些受害者。