Eindringen über Backdoors – eine weitere 20-Dollar-Domain, mehr Regierungen
(labs.watchtowr.com)-
Backdoors mit Backdoors kompromittieren – eine weitere 20-Dollar-Domain, mehr Regierungen
- 2024 sorgte eine Untersuchung, die es ermöglichte, die Verifizierung des Eigentums an .MOBI-Domains zu umgehen und gültige TLS/SSL-Zertifikate auszustellen, für erhebliche Auswirkungen im gesamten Internet
- Diesmal wurde untersucht, wie sich mithilfe abgelaufener oder aufgegebener Infrastruktur Zugang zu Tausenden von Systemen erlangen lässt
- Dabei wurden von anderen Hackern hinterlassene Backdoors übernommen, um denselben Systemzugang zu erhalten – mit minimalem Aufwand und demselben Ergebnis
-
Web-Shells
- Web-Shells sind Code, der eine Backdoor auf einem Webserver installiert, um weitere Angriffe zu ermöglichen
- Es gibt viele Formen von Web-Shells wie c99shell, r57shell und China Chopper, die Angreifern alle benötigten Funktionen bereitstellen
- Solche Web-Shells enthalten oft selbst Backdoors, damit andere Hacker sie kompromittieren können
-
Der Irrtum von Sicherheitsexperten
- Viele Web-Shells bieten Passwortschutz, aber der ursprüngliche Autor hinterlegt mitunter auch einen „Master Key“, der Zugriff auf alle Hosts erlaubt
- So ist c99shell beispielsweise nicht nur über das vom Angreifer gesetzte Passwort zugänglich, sondern auch über ein vom Autor festgelegtes Passwort
-
Neue Untersuchung
- Ziel war es, die Verwundbarkeit des Internets anhand abgelaufener oder aufgegebener Infrastruktur zu erforschen
- Dazu wurden verschiedene Web-Shells gesammelt, geschützter Code entschlüsselt und darin verwendete, nicht registrierte Domains aus Callback-Funktionen extrahiert
- Über die AWS Route53 API wurden Domains in großer Zahl registriert und mit einem Logging-Server verbunden, um Anfragen zu protokollieren
-
Verbindung zu Nordkorea?
- Es wurden Angriffsmuster entdeckt, die Lazarus Group bzw. APT37 aus Nordkorea ähneln, tatsächlich scheint es sich jedoch um andere Angreifer zu handeln, die APT-Tools wiederverwendet haben
- Tausende Anfragen wurden an den Logging-Server gesendet; sie dienten als Hinweis darauf, dass Web-Shells ausgerollt und aufgerufen wurden
-
.GOV-Domains
- Auf den Domains mehrerer Regierungsbehörden wurden Backdoors gefunden; die Informationen wurden über vier verschiedene Web-Shells gesammelt
-
Fazit
- Aufgrund der Alterung des Internets und der Auswirkungen abgelaufener Infrastruktur ist zu erwarten, dass diese Probleme weiter bestehen bleiben
- Auch Angreifer machen – genau wie Verteidiger – Fehler, was zu einem gewissen Gleichgewicht zwischen Angriff und Verteidigung beiträgt
- watchTowr schützt die Organisationen seiner Kunden durch kontinuierliche Sicherheitstests und schnelle Reaktion auf Bedrohungen
1 Kommentare
Hacker-News-Kommentare
Es gibt die Meinung, dass man es aus Angst vor dem CFAA wohl nicht versuchen würde, diese Aktion aber sehr cool sei
Es wurde eine Verbindung zur AWS-Route53-API hergestellt, um Domains in großem Umfang zu kaufen
Dank an die Unterstützung der Shadowserver Foundation, die die Kontrolle über die an dieser Untersuchung beteiligten Domains übernommen und Sinkholing durchgeführt hat
Im Zusammenhang mit Domains wünsche man sich statt der Begriffe „kaufen“ und „besitzen“ eher die Begriffe „mieten“ oder „leasen“
Dieser Beitrag habe beim Lesen Spaß gemacht, sei mit leichter Hand geschrieben und sich der Auswirkungen der Offenlegung bewusst
Man frage sich, was passiert, wenn man über die Backdoor einer Webshell die Webshell löscht
Etwas off-topic, aber die Schriftart des Buchstabens „y“ in diesem Artikel falle auf
Technisch gesehen sei dies ein Duplikat; es wurde letzte Woche bereits zweimal eingereicht