Backdoor im Backdoor-Einbruch — noch eine weitere 20-Dollar-Domain, noch mehr Regierungen
(labs.watchtowr.com)- watchTowr Labs registrierte abgelaufene bzw. verwaiste Domains erneut, fing Backdoor-Callbacks aus Webshells ab und beobachtete den Traffic von mehr als 4.000 eindeutigen aktiven Backdoors
- Wenn eine Webshell eine versteckte Funktion besitzt, die ihren Bereitstellungsort oder ihr Passwort an die Domain des ursprünglichen Autors sendet, kann der neue Eigentümer nach Ablauf der Domain die Callback-Logs erhalten
- Zu den beobachteten Zielen gehörten Regierungssysteme in Bangladesh, China und Nigeria sowie Universitäten und Hochschulen in Thailand, China, Südkorea und anderen Ländern; die Logs summierten sich auf mehr als 300 MB
- Die Forschenden registrierten mehr als 40 Domains, richteten AWS Route53, Wildcard-TLS-Zertifikate und einen Apache-Logging-Server ein, zeichneten Anfragen auf und gaben nur 404-Antworten zurück
- Verwaiste Infrastruktur kann nicht nur bei der TLS/SSL-CA-Validierung, sondern auch im von Angreifern genutzten Webshell-Ökosystem zu einem realen Zugriffspfad werden; die betroffenen Domains sollen von der The Shadowserver Foundation übernommen und als Sinkhole betrieben werden
Abgelaufene Infrastruktur wird zum Zugriffspfad für Backdoors
- watchTowr Labs zeigte in einer .MOBI-Studie von 2024, dass nicht registrierte Domains den Prozess zur Verifizierung des Domain-Besitzes bei TLS/SSL-CAs beeinflussen können; anschließend beantragte Google beim CAB Forum die Abschaffung WHOIS-basierter Eigentumsprüfungen
- Die aktuelle Studie überträgt dieselbe Problemklasse — abgelaufene bzw. verwaiste Infrastruktur — auf das Ökosystem von Webshells und Backdoors
- Die Forschenden registrierten abgelaufene Domains erneut, von denen eine weitere in die Backdoor eingebaute Hintertür abhing, und beobachteten so den Traffic infizierter Hosts
- Theoretisch schafft dieser Ansatz eine Position, von der aus kompromittierte Hosts übernommen und gesteuert werden könnten; um kein zusätzliches Risiko zu erzeugen, verschleierten die Forschenden jedoch die meisten Hostnamen
- Bislang wurden mehr als 4.000 eindeutige aktive Backdoors beobachtet, und die Zahl steigt weiter
Webshells sind nach einem Einbruch hinterlassene Mittel zur Fernsteuerung
- Eine Webshell ist Code, der nach der Kompromittierung eines Webservers abgelegt wird und als Backdoor dient, über die Angreifer weitere Aktionen ausführen können
- Eine einfache Form ist in PHP Code wie
<?php system($_GET['exec']);?>, der Befehle ausführt - Komplexere Varianten sind Webshells wie
c99shell,r57shellundChina Chopper, die unter anderem folgende Funktionen enthalten können- Befehlsausführung
- Dateien löschen, ändern, hochladen, verschieben oder umbenennen
- Code ausführen
- Selbstlöschung
- Verteilung zusätzlicher Backdoors wie connect-back oder bindshell
- FTP-Brute-Force
- SQL-Client
c99shellundr57shellwerden als früher weit verbreitete Webshells beschrieben
Der Bereitstellungsort wird an die Webshell-Autoren verraten
r57shellenthielt Code, der ein 0-Byte-Bild vonrst.void.rulädt und nach außen so wirkt, als würde er Informationen über die aktuelle Shell-Version senden- Tatsächlich wird über den Referer-Header der HTTP-Anfrage der Bereitstellungsort der neu abgelegten Webshell an den Eigentümer von
rst.void.ruoffengelegt - Selbst wenn ein Angreifer ein Ziel kompromittiert und die Webshell installiert, ist sie also so aufgebaut, dass ihr Autor den Ort mitgeteilt bekommt
- Im Fall von
c99shellsind Zugangsdaten zwar hartkodiert, doch der Aufruf@extract($_REQUEST["c99shcook"])kann Variablen im aktuellen Scope überschreiben extractist für nicht vertrauenswürdige Daten unsicher; ein Angreifer kann über den Request-Parameterc99shcookdie Werte vonmd5_passundloginsetzen, bestehende Authentifizierungsvariablen ersetzen und die Anmeldung umgehen
Mit mehr als 40 Domains wurden nur Callbacks protokolliert
- Die Forschenden sammelten Webshells verschiedener Sprachen, Ziele und Jahrgänge, entschleierten mit base64 und ähnlichen Verfahren verschleierten Code und extrahierten nicht registrierte Domains, die offenbar für Callbacks genutzt wurden
- Anschließend registrierten sie über die AWS-Route53-API mehr als 40 Domains im Bulk
- Beispielhafte Domains waren
aljazeera7.com,alturks.com,caspian-pirates.org,h0ld-up.info,w2img.com,odayexp.comundnettekiadres.com - Sie richteten Wildcard-TLS-Zertifikate und einen Apache-Webserver ein und leiteten die neuen Domains auf einen Logging-Server
- Der Logging-Server protokollierte nur eingehende Anfragen und gab 404 zurück; die Forschenden nahmen also lediglich von den Systemen selbst gesendete Requests entgegen, ohne mit Antworten Codeausführung auszulösen
Webshell-Callbacks, die wie Lazarus-Werkzeuge aussehen
- Für Domains aus der
w2img.com-Familie wurden tausende Anfragen beobachtet, die.gif-Bilder abrufen - Die Forschenden fanden eine Backdoor-Probe, die diese Anfragen erzeugt, und stuften sie als ähnlich zu einer Version ein, die 2020 angeblich von Lazarus genutzt wurde
- Nach Entfernung der Verschleierung erscheint Code, der in Form von
background:url(...)in CSS eine.gif-Datei vonimg2.w2img.comlädt - Wenn der Browser das Bild anfordert, bleibt im Server-Log neben der Anfrage auch der Referer erhalten, wodurch sich der Bereitstellungsort der Webshell erkennen lässt
- Allein diese eine Backdoor führte zur Beobachtung von mehr als 3.900 eindeutigen kompromittierten Domains
- Neuere Browser geben im Referer nur noch die Domain preis, doch bei Angreifern mit älteren Browsern wurde teils die vollständige Webshell-URL übertragen
Auch Regierungsdomains und Hochschulen waren betroffen
- Bei der Suche nach
.gov-Domains im Referer der Logs tauchten mehrere regierungsbezogene Domains auf - Bestätigte Beispiele sind
fhc.gov.ng: Nigeria Federal High Court- Domains aus dem Bereich
gov.cn - Domains aus dem Bereich
gov.bd - Domains aus dem Bereich
court.gov.cn
- Im Fall des Nigeria Federal High Court lieferten vier unterschiedliche Backdoors Informationen, und die anfragenden Domains waren jeweils verschieden
- Die Forschenden fassen zusammen, dass unter den insgesamt gut 4.000 kompromittierten Systemen vier
.gov-Systeme waren - Ebenfalls beobachtet wurden kompromittierte Universitäten und andere Einrichtungen des Hochschulbereichs in Thailand, China, Südkorea und weiteren Ländern
Webshells, die Passwörter im Klartext senden
- Eine weitere Art von Backdoor verlässt sich nicht auf das Laden von Bildern und den Referer, sondern übermittelt URL und bestimmte Informationen direkt als Parameter
- In Anfragen an
odayexp.comwar neben dem Parameterurlauch ein Parameterpenthalten - Im ASP-Webshell-Code war der Wert
pdie VariableUserPass, also das für den Login der Webshell benötigte Passwort - Der Angreifer hatte die Webshell zwar mit einem Passwort geschützt, doch dieses Passwort wurde im Klartext an
odayexp.comübertragen - Als watchTowr Eigentümer der Domain wurde, wurden der Bereitstellungsort der Webshell und das Passwort an den Logging-Server der Forschenden gesendet
- In den Logs fanden sich auch Anfragen mit
localhost, privaten IP-Adressen und Testpfaden, was auf Versuche hindeutet, diese Funktion zu modifizieren oder zu testen
Grenzen der Interpretation und weiteres Vorgehen
- Die beobachteten Shells waren stark auf Ziele in China konzentriert, was nach Einschätzung der Forschenden jedoch auch ein Artefakt der Stichprobendaten sein könnte
- Quell-IP-Adressen sind wegen der leichten Nutzung von Proxys nur eingeschränkt belastbar, doch Anfragen, die wie Angreifer-Traffic oder ungewöhnlich verwalteter Traffic wirkten, konzentrierten sich stark auf IP-Bereiche in Hongkong und China
- Offene Webshells, abgelaufene Domains und mit Backdoors versehene Software zeigen, dass auch Angreifer Fehler machen — genauso wie Verteidiger
- Wie schon bei der früheren .MOBI-Studie bleibt ein Verantwortungsproblem, weil sich dasselbe Problem wiederholen kann, wenn die Domains später erneut ablaufen
- The Shadowserver Foundation wird die mit dieser Studie verbundenen Domains übernehmen und als Sinkhole betreiben
1 Kommentare
Kommentare auf Hacker News
Aus Angst vor dem CFAA würde ich es nicht selbst ausprobieren, aber diese Arbeit ist wirklich großartig. Besonders lustig ist, dass an einer Regierungsdomain vier parasitäre Backdoors hingen.
Ich frage mich, ob Script-Kiddies, wenn sie ein System übernehmen, nicht die Backdoors anderer Script-Kiddies löschen, um es für sich allein zu haben.
Ich wünschte, wir würden alle endlich aufhören, bei Domains von „kaufen“ oder „besitzen“ zu sprechen. „Mieten“ oder „pachten“ trifft es eher; wenn man sie wirklich kaufen könnte, würden sie nicht wie hier wieder verfügbar werden.
Deshalb gelten die meisten gTLD-Regeln nicht für ccTLDs. Ein Staat „besitzt“ seine ccTLD höchstens in dem Sinne, dass er ihre Nutzung mit militärischer Gewalt verteidigen kann, falls ICANN oder die root-servers.net-Server die TLD nicht mehr korrekt auflösen.
Die unschöne Realität wird entweder als Allgemeinwissen vorausgesetzt oder als für den Punkt irrelevant betrachtet — eine konzeptuelle Abkürzung.
Der Artikel war wirklich gut. Er liest sich leicht, ist sich aber der möglichen Auswirkungen der Veröffentlichung bewusst, belegt alles und inszeniert sich dabei nicht übermäßig ernst.
Er ist unterhaltsam zu lesen und behandelt zugleich ein ernstes Sicherheitsproblem sehr gut.
Der Inhalt ist solide und ohne Ballast; das ist erfrischend im Vergleich zu vielen Blogposts oder Security-Analysen, die solche Punkte oft verfehlen.
Ich frage mich, was passieren würde, wenn man diese Webshell-Backdoor umgekehrt nutzt, um die Webshell zu löschen.
Wie auch die Autoren des Artikels sagen, beschränkten sie sich vorsichtig darauf, Traffic zu empfangen und zu protokollieren; sie sendeten keine interessanten Antworten und interagierten nicht mit den Webshells.
[1] https://www.malwarebytes.com/blog/news/2024/02/fbi-removes-m...
[2] https://www.zdnet.com/article/a-mysterious-grey-hat-is-patch...
Ich bin mir nicht sicher, ob ich diesen Teil richtig verstanden habe. Es heißt, CSS lasse von einer bestimmten URL ein Hintergrundbild laden, sodass der Browser die .gif-Datei von w2img.com anfordert; außerdem heißt es, moderne Browser geben im Referrer nur die Domain preis, aber Angreifer mit alten Browsern hätten die vollständige Shell-URL gesendet.
Aber die Aussage „der Angreifer nutzt einen alten Browser“ wirkt seltsam. Ursprünglich hat doch der Angreifer den Server übernommen, der das CSS ausliefert, und der Browser gehört einem unschuldigen Nutzer, der den kompromittierten Server besucht, oder? Dann wäre es doch das Opfer, das den Browser nutzt, nicht der Angreifer.
Ich verstehe nicht, in welchem Szenario der Angreifer einen Browser verwendet.
Solche fertigen Webshell-Dateien wurden aber von anderen Angreifern erstellt und bereits mit einer Backdoor versehen verteilt. In diesem Fall sorgt das CSS in der Webshell dafür, dass der Browser des Angreifers den Speicherort der Webshell an eine Domain leakt, die vom ursprünglichen Autor kontrolliert wird.
Etwas am Rande: Ich verstehe nicht, warum in diesem Artikel der Buchstabe y in der Schrift so aussieht. Er sticht so stark heraus, dass es stört.
Ich verstehe, dass Designer einen eigenen Stil wollen, aber als Endnutzer möchte man so etwas selten.
Die auffälligen Stellen sollen vielleicht ein wenig irritieren, aber wie eine provokante Aussage müssen sie trotzdem noch halbwegs Sinn ergeben. Es erinnert an die Strategie mancher Online-Persönlichkeiten, bestimmte Wörter bewusst immer wieder falsch auszusprechen oder ihre Betonung zu übertreiben.
Zurück zu Schriften: Ich erinnere mich, dass die Lyrics-Website Genius eine Zeit lang etwas Ähnliches gemacht hat. In ihrer Aufbauphase nutzten sie die eckigen Buchstabenformen der Schrift Programme, die man im Link unten sehen kann. Sie verwenden Programme wohl immer noch, aber seit einiger Zeit offenbar in den normalen Formen, vermutlich weil es tatsächlich störte und der Lesbarkeit schadete.
https://www.typewolf.com/programme
Im Artikel sind ein paar Tippfehler. In „with the hopes of painting a paint a clear picture“ ist a paint überflüssig, und in „we the following stood out“ ist we überflüssig.
Außerdem ist „Atleast“ in „Atleast there will be memes...“ ein Tippfehler.
Dass h0no erwähnt wurde, hat sofort Erinnerungen geweckt. Es fühlt sich an wie zurück in die Zeiten von darpanet/m00/#darknet/dikline.
Ich frage mich, warum fast alle Domains geschwärzt wurden, aber die Domain des Federal High Court of Nigeria stehen blieb.
Es wird nicht ausdrücklich gesagt, aber ich hoffe, dass ein Responsible-Disclosure-Prozess durchlaufen wurde.
Es scheint zu 99 % auf dem Sichern abgelaufener Domains zu beruhen, aber sie sagen gar nicht, wie sie das gemacht haben?
Der einzige Teil, den sie nicht erklären, ist, wie sie die Shells online gefunden haben; dafür gibt es offensichtliche Gründe, und in den Worten der Autoren waren es Dinge, die „vom Laster gefallen“ sind.