Você sabia que muitos hackers estão usando domínios expirados para acessar sistemas? Neste artigo, vamos falar sobre uma pesquisa da watchTowr que revelou mais de 4.000 backdoors ativos em instituições como governos e universidades. Vamos explorar como os hackers se aproveitam de infraestruturas abandonadas e o que isso significa para a sua segurança digital. Fique por dentro das descobertas e entenda a importância de gerenciar corretamente os domínios. É uma leitura essencial para quem se preocupa com a proteção online!
- Identificação de mais de 4.000 backdoors em domínios expirados.
- Backdoors permitem acesso fácil a sistemas sem esforço dos hackers.
- Hackers usam “web shells” para controle remoto de servidores.
- Instituições governamentais, como o Tribunal Superior Federal da Nigéria, estão em risco.
- Shadowserver Foundation agora protege domínios comprometidos.
Milhares de Backdoors de Hackers Encontrados em Domínios Expirados
Pesquisadores de segurança cibernética da watchTowr descobriram mais de 4.000 backdoors que exploram infraestruturas abandonadas e domínios expirados. Esses backdoors, escondidos em sistemas comprometidos ao redor do mundo, expuseram uma grande rede de instituições governamentais e educacionais vulneráveis.
O Início da Investigação
A investigação começou quando a equipe da watchTowr registrou mais de 40 domínios expirados, anteriormente utilizados por hackers, e configurou servidores de registro para rastrear solicitações. Com isso, coletaram 300MB de dados, revelando uma rede de hosts comprometidos, incluindo sistemas do governo em países como Bangladesh, China e Nigéria.
A Abordagem dos Hackers
Os hackers estavam usando esses backdoors abandonados para acessar milhares de sistemas, sem esforço para identificá-los e comprometê-los. Essa técnica, chamada de mass-hacking-on-autopilot, permite que os hackers assumam o controle de hosts comprometidos, levando a consequências devastadoras.
Exemplo Notável
Um exemplo notável é um backdoor vinculado ao Lazarus Group, um coletivo de hackers associado à Coreia do Norte. Os pesquisadores encontraram mais de 3.900 domínios comprometidos usando esse backdoor, projetado para carregar uma imagem .gif do servidor de registro, vazando a localização do sistema comprometido.
O Que É um Web Shell?
Para entender isso melhor, pense no conceito de um web shell. Esses são pequenos trechos de código colocados em um servidor web após uma invasão bem-sucedida. Funcionam como painéis de controle remotos, permitindo que os atacantes executem comandos, gerenciem arquivos e implantem mais ferramentas maliciosas.
Historicamente, esses web shells incluíam mecanismos que ligavam para um domínio ou servidor controlado pelo atacante. Quando esse domínio expira e é registrado por outra pessoa, essas ligações agora são atendidas por um destinatário inesperado.
Exemplos de Web Shells
| Web Shell | Descrição |
|---|---|
| r57shell | Um shell amplamente utilizado em ataques. |
| c99shell | Outro shell popular, conhecido por suas funções. |
Alguns shells antigos, como o r57shell e o c99shell, embora desatualizados, ainda estão em uso. Alguns desses shells continham backdoors embutidos, permitindo que o autor original acessasse o sistema, mesmo que o atacante inicial protegesse seu acesso com senha. Isso ressalta a abordagem caótica da comunidade de hackers em relação à segurança.
Vulnerabilidades em Instituições Governamentais
As instituições governamentais estavam particularmente vulneráveis, com sistemas comprometidos encontrados no Tribunal Superior Federal da Nigéria e em outras entidades. Essas descobertas mostram a importância da gestão responsável da infraestrutura e a necessidade de aumentar a conscientização sobre os riscos de domínios abandonados e expirados.
Consequências Futuras
A equipe da watchTowr alerta que problemas como esse continuarão a persistir, com consequências para atualizações de software, infraestrutura em nuvem e dispositivos SSLVPN. O relatório também destaca que até os atacantes podem cometer erros. Um exemplo é o trabalho de pesquisadores do vpnMentor, que identificaram grupos como ShinyHunters e Nemesis, que exploraram AWS buckets para roubar mais de 2 terabytes de dados sensíveis, expondo inadvertidamente seus próprios buckets S3.
A Boa Notícia
A boa notícia é que a Shadowserver Foundation concordou em assumir a propriedade dos domínios implicados e desativá-los, evitando mais exploração. A pesquisa da watchTowr serve como um lembrete crucial da importância da gestão responsável da infraestrutura e da conscientização sobre os riscos de domínios abandonados e expirados.
Seu endereço de e-mail não será publicado. Campos obrigatórios estão marcados.
Deixe um Comentário
Nome
E-mail
Website
Links Sociais
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
Conclusão
Em resumo, a pesquisa da watchTowr revela um cenário preocupante sobre a segurança digital. Com mais de 4.000 backdoors encontrados em domínios expirados, é claro que os hackers estão aproveitando as infraestruturas abandonadas para facilitar seus ataques. Isso não afeta apenas grandes instituições, mas também pode impactar a sua segurança pessoal. Portanto, é fundamental estar sempre atento à gestão de domínios e à proteção de sistemas. A boa notícia é que iniciativas como a da Shadowserver Foundation estão trabalhando para mitigar esses riscos. Não deixe de se informar e proteger seus dados! Para mais insights e dicas sobre segurança digital, visite nosso blog em Foco em Segurança.