本文主要讲述了研究团队对废弃和过期基础设施的探索及相关发现，包括利用废弃的后门进行“黑客行为”等内容：

• 前期研究与行动：2024 年展示了未注册域名对 TLS/SSL CA 流程的影响，引发互联网变化，促使 Google 请愿改变证书颁发方式。之后团队再次冒险，通过劫持废弃后门获取对数千系统的访问权，目前已发现 4000 多个独特的活跃后门，记录了超 300MB 日志，发现了包括多个国家政府、高校等在内的受影响系统。
• Web Shell 相关：介绍了 Web Shell 是部署在 Web 服务器上的后门代码，有多种格式和功能，如命令执行、文件管理等。同时指出很多 Web Shell 本身被后门化，可让黑客攻击其他黑客，如 r57shell 会泄露新部署的 Web Shell 位置，常见的 c99shell 后门也存在允许原作者访问的漏洞。
• 研究新尝试：团队收集大量 Web Shell，提取未注册域名并注册 40 多个域名，搭建基础设施，通过日志记录 incoming requests。发现有人模仿 Lazarus Group 利用类似工具，还发现多个.gov 域名被不同 Web Shell 捕获信息，以及一个与美国思科公司无关的 ciscosoft.com.cn 相关线索，同时看到一种更明确的回连后门，其会将密码以明文形式发送到日志服务器。
• 研究总结与展望：随着互联网发展，废弃和过期基础设施的问题可能持续，此次研究发现攻击者会犯与防御者相同的错误，虽样本数据中受影响系统多为中国目标，但不能仅根据源 IP 地址下结论。团队感谢 The Shadowserver Foundation 对域名的处理，强调连续安全测试的重要性，并推广 watchTowr 平台的攻击面管理和持续自动化红队解决方案。