1 Punkte von GN⁺ 2025-01-13 | 1 Kommentare | Auf WhatsApp teilen
  • watchTowr Labs registrierte abgelaufene bzw. verwaiste Domains erneut, fing Backdoor-Callbacks aus Webshells ab und beobachtete den Traffic von mehr als 4.000 eindeutigen aktiven Backdoors
  • Wenn eine Webshell eine versteckte Funktion besitzt, die ihren Bereitstellungsort oder ihr Passwort an die Domain des ursprünglichen Autors sendet, kann der neue Eigentümer nach Ablauf der Domain die Callback-Logs erhalten
  • Zu den beobachteten Zielen gehörten Regierungssysteme in Bangladesh, China und Nigeria sowie Universitäten und Hochschulen in Thailand, China, Südkorea und anderen Ländern; die Logs summierten sich auf mehr als 300 MB
  • Die Forschenden registrierten mehr als 40 Domains, richteten AWS Route53, Wildcard-TLS-Zertifikate und einen Apache-Logging-Server ein, zeichneten Anfragen auf und gaben nur 404-Antworten zurück
  • Verwaiste Infrastruktur kann nicht nur bei der TLS/SSL-CA-Validierung, sondern auch im von Angreifern genutzten Webshell-Ökosystem zu einem realen Zugriffspfad werden; die betroffenen Domains sollen von der The Shadowserver Foundation übernommen und als Sinkhole betrieben werden

Abgelaufene Infrastruktur wird zum Zugriffspfad für Backdoors

  • watchTowr Labs zeigte in einer .MOBI-Studie von 2024, dass nicht registrierte Domains den Prozess zur Verifizierung des Domain-Besitzes bei TLS/SSL-CAs beeinflussen können; anschließend beantragte Google beim CAB Forum die Abschaffung WHOIS-basierter Eigentumsprüfungen
  • Die aktuelle Studie überträgt dieselbe Problemklasse — abgelaufene bzw. verwaiste Infrastruktur — auf das Ökosystem von Webshells und Backdoors
  • Die Forschenden registrierten abgelaufene Domains erneut, von denen eine weitere in die Backdoor eingebaute Hintertür abhing, und beobachteten so den Traffic infizierter Hosts
  • Theoretisch schafft dieser Ansatz eine Position, von der aus kompromittierte Hosts übernommen und gesteuert werden könnten; um kein zusätzliches Risiko zu erzeugen, verschleierten die Forschenden jedoch die meisten Hostnamen
  • Bislang wurden mehr als 4.000 eindeutige aktive Backdoors beobachtet, und die Zahl steigt weiter

Webshells sind nach einem Einbruch hinterlassene Mittel zur Fernsteuerung

  • Eine Webshell ist Code, der nach der Kompromittierung eines Webservers abgelegt wird und als Backdoor dient, über die Angreifer weitere Aktionen ausführen können
  • Eine einfache Form ist in PHP Code wie <?php system($_GET['exec']);?>, der Befehle ausführt
  • Komplexere Varianten sind Webshells wie c99shell, r57shell und China Chopper, die unter anderem folgende Funktionen enthalten können
    • Befehlsausführung
    • Dateien löschen, ändern, hochladen, verschieben oder umbenennen
    • Code ausführen
    • Selbstlöschung
    • Verteilung zusätzlicher Backdoors wie connect-back oder bindshell
    • FTP-Brute-Force
    • SQL-Client
  • c99shell und r57shell werden als früher weit verbreitete Webshells beschrieben

Der Bereitstellungsort wird an die Webshell-Autoren verraten

  • r57shell enthielt Code, der ein 0-Byte-Bild von rst.void.ru lädt und nach außen so wirkt, als würde er Informationen über die aktuelle Shell-Version senden
  • Tatsächlich wird über den Referer-Header der HTTP-Anfrage der Bereitstellungsort der neu abgelegten Webshell an den Eigentümer von rst.void.ru offengelegt
  • Selbst wenn ein Angreifer ein Ziel kompromittiert und die Webshell installiert, ist sie also so aufgebaut, dass ihr Autor den Ort mitgeteilt bekommt
  • Im Fall von c99shell sind Zugangsdaten zwar hartkodiert, doch der Aufruf @extract($_REQUEST["c99shcook"]) kann Variablen im aktuellen Scope überschreiben
  • extract ist für nicht vertrauenswürdige Daten unsicher; ein Angreifer kann über den Request-Parameter c99shcook die Werte von md5_pass und login setzen, bestehende Authentifizierungsvariablen ersetzen und die Anmeldung umgehen

Mit mehr als 40 Domains wurden nur Callbacks protokolliert

  • Die Forschenden sammelten Webshells verschiedener Sprachen, Ziele und Jahrgänge, entschleierten mit base64 und ähnlichen Verfahren verschleierten Code und extrahierten nicht registrierte Domains, die offenbar für Callbacks genutzt wurden
  • Anschließend registrierten sie über die AWS-Route53-API mehr als 40 Domains im Bulk
  • Beispielhafte Domains waren aljazeera7.com, alturks.com, caspian-pirates.org, h0ld-up.info, w2img.com, odayexp.com und nettekiadres.com
  • Sie richteten Wildcard-TLS-Zertifikate und einen Apache-Webserver ein und leiteten die neuen Domains auf einen Logging-Server
  • Der Logging-Server protokollierte nur eingehende Anfragen und gab 404 zurück; die Forschenden nahmen also lediglich von den Systemen selbst gesendete Requests entgegen, ohne mit Antworten Codeausführung auszulösen

Webshell-Callbacks, die wie Lazarus-Werkzeuge aussehen

  • Für Domains aus der w2img.com-Familie wurden tausende Anfragen beobachtet, die .gif-Bilder abrufen
  • Die Forschenden fanden eine Backdoor-Probe, die diese Anfragen erzeugt, und stuften sie als ähnlich zu einer Version ein, die 2020 angeblich von Lazarus genutzt wurde
  • Nach Entfernung der Verschleierung erscheint Code, der in Form von background:url(...) in CSS eine .gif-Datei von img2.w2img.com lädt
  • Wenn der Browser das Bild anfordert, bleibt im Server-Log neben der Anfrage auch der Referer erhalten, wodurch sich der Bereitstellungsort der Webshell erkennen lässt
  • Allein diese eine Backdoor führte zur Beobachtung von mehr als 3.900 eindeutigen kompromittierten Domains
  • Neuere Browser geben im Referer nur noch die Domain preis, doch bei Angreifern mit älteren Browsern wurde teils die vollständige Webshell-URL übertragen

Auch Regierungsdomains und Hochschulen waren betroffen

  • Bei der Suche nach .gov-Domains im Referer der Logs tauchten mehrere regierungsbezogene Domains auf
  • Bestätigte Beispiele sind
    • fhc.gov.ng: Nigeria Federal High Court
    • Domains aus dem Bereich gov.cn
    • Domains aus dem Bereich gov.bd
    • Domains aus dem Bereich court.gov.cn
  • Im Fall des Nigeria Federal High Court lieferten vier unterschiedliche Backdoors Informationen, und die anfragenden Domains waren jeweils verschieden
  • Die Forschenden fassen zusammen, dass unter den insgesamt gut 4.000 kompromittierten Systemen vier .gov-Systeme waren
  • Ebenfalls beobachtet wurden kompromittierte Universitäten und andere Einrichtungen des Hochschulbereichs in Thailand, China, Südkorea und weiteren Ländern

Webshells, die Passwörter im Klartext senden

  • Eine weitere Art von Backdoor verlässt sich nicht auf das Laden von Bildern und den Referer, sondern übermittelt URL und bestimmte Informationen direkt als Parameter
  • In Anfragen an odayexp.com war neben dem Parameter url auch ein Parameter p enthalten
  • Im ASP-Webshell-Code war der Wert p die Variable UserPass, also das für den Login der Webshell benötigte Passwort
  • Der Angreifer hatte die Webshell zwar mit einem Passwort geschützt, doch dieses Passwort wurde im Klartext an odayexp.com übertragen
  • Als watchTowr Eigentümer der Domain wurde, wurden der Bereitstellungsort der Webshell und das Passwort an den Logging-Server der Forschenden gesendet
  • In den Logs fanden sich auch Anfragen mit localhost, privaten IP-Adressen und Testpfaden, was auf Versuche hindeutet, diese Funktion zu modifizieren oder zu testen

Grenzen der Interpretation und weiteres Vorgehen

  • Die beobachteten Shells waren stark auf Ziele in China konzentriert, was nach Einschätzung der Forschenden jedoch auch ein Artefakt der Stichprobendaten sein könnte
  • Quell-IP-Adressen sind wegen der leichten Nutzung von Proxys nur eingeschränkt belastbar, doch Anfragen, die wie Angreifer-Traffic oder ungewöhnlich verwalteter Traffic wirkten, konzentrierten sich stark auf IP-Bereiche in Hongkong und China
  • Offene Webshells, abgelaufene Domains und mit Backdoors versehene Software zeigen, dass auch Angreifer Fehler machen — genauso wie Verteidiger
  • Wie schon bei der früheren .MOBI-Studie bleibt ein Verantwortungsproblem, weil sich dasselbe Problem wiederholen kann, wenn die Domains später erneut ablaufen
  • The Shadowserver Foundation wird die mit dieser Studie verbundenen Domains übernehmen und als Sinkhole betreiben

1 Kommentare

 
GN⁺ 2025-01-13
Kommentare auf Hacker News
  • Aus Angst vor dem CFAA würde ich es nicht selbst ausprobieren, aber diese Arbeit ist wirklich großartig. Besonders lustig ist, dass an einer Regierungsdomain vier parasitäre Backdoors hingen.
    Ich frage mich, ob Script-Kiddies, wenn sie ein System übernehmen, nicht die Backdoors anderer Script-Kiddies löschen, um es für sich allein zu haben.
    Ich wünschte, wir würden alle endlich aufhören, bei Domains von „kaufen“ oder „besitzen“ zu sprechen. „Mieten“ oder „pachten“ trifft es eher; wenn man sie wirklich kaufen könnte, würden sie nicht wie hier wieder verfügbar werden.

    • In diesem Kontext ist ohnehin unklar, was „kaufen“ genau bedeuten soll. Selbst Staaten kann man kaum als „Eigentümer“ ihrer ccTLD ansehen, aber ICANN hat sich ziemlich viel Mühe gegeben, die Richtlinie auszuformulieren, dass „ccTLDs so behandelt werden sollten, als gehörten sie dem jeweiligen Land“, um Spannungen im Namensraum des Internets zu vermeiden.
      Deshalb gelten die meisten gTLD-Regeln nicht für ccTLDs. Ein Staat „besitzt“ seine ccTLD höchstens in dem Sinne, dass er ihre Nutzung mit militärischer Gewalt verteidigen kann, falls ICANN oder die root-servers.net-Server die TLD nicht mehr korrekt auflösen.
    • Sehr schräg betrachtet ist physisches und digitales Eigentum letztlich alles nur gemietet.
    • Das liegt an der menschlichen Natur und an der „Funktion“ der englischen Sprache. Menschen sagen auch bei einem geleasten Auto oder einer Telefonnummer „mein Auto“, „meine Nummer“, und nennen ein Haus „mein Haus“, selbst wenn darauf eine nahezu vollständig fremdfinanzierte Hypothek liegt.
      Die unschöne Realität wird entweder als Allgemeinwissen vorausgesetzt oder als für den Punkt irrelevant betrachtet — eine konzeptuelle Abkürzung.
  • Der Artikel war wirklich gut. Er liest sich leicht, ist sich aber der möglichen Auswirkungen der Veröffentlichung bewusst, belegt alles und inszeniert sich dabei nicht übermäßig ernst.
    Er ist unterhaltsam zu lesen und behandelt zugleich ein ernstes Sicherheitsproblem sehr gut.

    • Ich hatte bei diesem Artikel und dem früheren Beitrag zu .mobi denselben Eindruck. Genug Kontext, gute Erklärungen, leicht und cool ohne Buzzwords und ohne erzwungen cool wirken zu wollen.
      Der Inhalt ist solide und ohne Ballast; das ist erfrischend im Vergleich zu vielen Blogposts oder Security-Analysen, die solche Punkte oft verfehlen.
    • Mir gefiel auch, dass WordArt vorkam, schade nur, dass kein Regenbogeneffekt verwendet wurde.
  • Ich frage mich, was passieren würde, wenn man diese Webshell-Backdoor umgekehrt nutzt, um die Webshell zu löschen.

  • Ich bin mir nicht sicher, ob ich diesen Teil richtig verstanden habe. Es heißt, CSS lasse von einer bestimmten URL ein Hintergrundbild laden, sodass der Browser die .gif-Datei von w2img.com anfordert; außerdem heißt es, moderne Browser geben im Referrer nur die Domain preis, aber Angreifer mit alten Browsern hätten die vollständige Shell-URL gesendet.
    Aber die Aussage „der Angreifer nutzt einen alten Browser“ wirkt seltsam. Ursprünglich hat doch der Angreifer den Server übernommen, der das CSS ausliefert, und der Browser gehört einem unschuldigen Nutzer, der den kompromittierten Server besucht, oder? Dann wäre es doch das Opfer, das den Browser nutzt, nicht der Angreifer.
    Ich verstehe nicht, in welchem Szenario der Angreifer einen Browser verwendet.

    • Eine Webshell ist eine Seite, meist eine .php-Datei, die ein Angreifer nach einer Kompromittierung wie RCE auf eine Website hochlädt; anschließend öffnet der Angreifer diese Seite in seinem eigenen Browser, um weitere Aktionen auf dem kompromittierten Webserver auszuführen.
      Solche fertigen Webshell-Dateien wurden aber von anderen Angreifern erstellt und bereits mit einer Backdoor versehen verteilt. In diesem Fall sorgt das CSS in der Webshell dafür, dass der Browser des Angreifers den Speicherort der Webshell an eine Domain leakt, die vom ursprünglichen Autor kontrolliert wird.
  • Etwas am Rande: Ich verstehe nicht, warum in diesem Artikel der Buchstabe y in der Schrift so aussieht. Er sticht so stark heraus, dass es stört.

    • Solche Dinge haben mich ziemlich oft gestört, deshalb habe ich downloadable_fonts deaktiviert. Für mich ist das Web ein Ort zum Lesen, und benutzerdefinierte Schriftarten, die die Lesbarkeit beeinträchtigen, sind mir nicht willkommen.
      Ich verstehe, dass Designer einen eigenen Stil wollen, aber als Endnutzer möchte man so etwas selten.
    • Das ist einfach das Design der Schrift selbst: https://abcdinamo.com/typefaces/favorit
    • Manche Schriften scheinen solche Elemente absichtlich einzubauen, um unterscheidbare Merkmale zu haben. Der Schriftenmarkt ist sehr gesättigt, und das kann helfen, zwischen lauter ähnlichen Kopien aufzufallen.
      Die auffälligen Stellen sollen vielleicht ein wenig irritieren, aber wie eine provokante Aussage müssen sie trotzdem noch halbwegs Sinn ergeben. Es erinnert an die Strategie mancher Online-Persönlichkeiten, bestimmte Wörter bewusst immer wieder falsch auszusprechen oder ihre Betonung zu übertreiben.
      Zurück zu Schriften: Ich erinnere mich, dass die Lyrics-Website Genius eine Zeit lang etwas Ähnliches gemacht hat. In ihrer Aufbauphase nutzten sie die eckigen Buchstabenformen der Schrift Programme, die man im Link unten sehen kann. Sie verwenden Programme wohl immer noch, aber seit einiger Zeit offenbar in den normalen Formen, vermutlich weil es tatsächlich störte und der Lesbarkeit schadete.
      https://www.typewolf.com/programme
  • Im Artikel sind ein paar Tippfehler. In „with the hopes of painting a paint a clear picture“ ist a paint überflüssig, und in „we the following stood out“ ist we überflüssig.
    Außerdem ist „Atleast“ in „Atleast there will be memes...“ ein Tippfehler.

  • Dass h0no erwähnt wurde, hat sofort Erinnerungen geweckt. Es fühlt sich an wie zurück in die Zeiten von darpanet/m00/#darknet/dikline.

  • Ich frage mich, warum fast alle Domains geschwärzt wurden, aber die Domain des Federal High Court of Nigeria stehen blieb.
    Es wird nicht ausdrücklich gesagt, aber ich hoffe, dass ein Responsible-Disclosure-Prozess durchlaufen wurde.

  • Es scheint zu 99 % auf dem Sichern abgelaufener Domains zu beruhen, aber sie sagen gar nicht, wie sie das gemacht haben?

    • Ich weiß nicht, ob du den Artikel tatsächlich gelesen hast. Es wird ziemlich detailliert erklärt. Sie haben keine DNS-Einträge „gehijackt“, sondern eine Domain gekauft, die abgelaufen und wieder verfügbar geworden war.
      Der einzige Teil, den sie nicht erklären, ist, wie sie die Shells online gefunden haben; dafür gibt es offensichtliche Gründe, und in den Worten der Autoren waren es Dinge, die „vom Laster gefallen“ sind.