Xâm nhập backdoor thông qua backdoor – thêm một tên miền 20 USD khác, thêm nhiều chính phủ hơn

 (labs.watchtowr.com)
1 điểm bởi GN⁺ 2025-01-13 | 1 bình luận | Chia sẻ qua WhatsApp

  • Backdoor hóa backdoor - thêm một tên miền 20 USD khác, thêm nhiều chính phủ hơn

    • Năm 2024, một nghiên cứu đã tạo ra thay đổi lớn trên toàn bộ Internet khi có thể phát hành chứng chỉ TLS/SSL hợp lệ bằng cách vượt qua bước xác minh quyền sở hữu tên miền .MOBI
    • Lần này, nghiên cứu tập trung vào cách tận dụng hạ tầng đã hết hạn hoặc bị bỏ rơi để truy cập hàng nghìn hệ thống
    • Cách làm là chiếm lấy các backdoor do những hacker khác để lại để giành cùng quyền truy cập vào một hệ thống, qua đó đạt được kết quả tương tự với nỗ lực tối thiểu

  • Web shell

    • Web shell là mã cài backdoor lên máy chủ web để có thể thực hiện thêm các cuộc tấn công
    • Có nhiều dạng web shell như c99shell, r57shell, China Chopper, và chúng cung cấp mọi chức năng mà kẻ tấn công cần
    • Các web shell này thường được cài sẵn backdoor để những hacker khác cũng có thể xâm nhập

  • Ngộ nhận của chuyên gia bảo mật

    • Nhiều web shell cung cấp tính năng bảo vệ bằng mật khẩu, nhưng tác giả ban đầu đôi khi còn cài một “chìa khóa chủ” cho phép truy cập mọi host
    • Ví dụ, c99shell có thể được truy cập không chỉ bằng mật khẩu do kẻ tấn công đặt ra mà còn bằng mật khẩu do tác giả thiết lập

  • Nghiên cứu mới

    • Mục tiêu là nghiên cứu tính dễ tổn thương của Internet bằng cách tận dụng hạ tầng đã hết hạn hoặc bị bỏ rơi
    • Nhóm nghiên cứu thu thập nhiều web shell khác nhau, giải mã mã được bảo vệ và trích xuất các tên miền chưa đăng ký được dùng trong hàm callback
    • Họ dùng API của AWS Route53 để đăng ký tên miền hàng loạt và kết nối với máy chủ ghi log để ghi lại các yêu cầu

  • Liên hệ với Triều Tiên?

    • Dù phát hiện các mẫu tấn công giống với Lazarus Group và APT37, vốn được biết đến là các nhóm liên quan đến Triều Tiên, nhưng trên thực tế có vẻ đây là trường hợp những kẻ tấn công khác tái sử dụng công cụ cấp độ APT
    • Hàng nghìn yêu cầu đã được gửi tới máy chủ ghi log, đóng vai trò thông báo rằng web shell đã được triển khai và bị truy cập

  • Tên miền .GOV

    • Backdoor đã được phát hiện trên tên miền của nhiều cơ quan chính phủ, và đây là thông tin được thu thập thông qua 4 web shell khác nhau

  • Kết luận

    • Do Internet ngày càng cũ đi và tác động của hạ tầng hết hạn, những vấn đề như vậy được dự đoán sẽ tiếp tục xảy ra
    • Kẻ tấn công cũng mắc sai lầm giống như người phòng thủ, và điều này góp phần tạo ra sự cân bằng giữa tấn công và phòng thủ
    • watchTowr đang bảo vệ tổ chức của khách hàng thông qua kiểm thử bảo mật liên tục và phản ứng nhanh trước các mối đe dọa

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-01-13
Ý kiến trên Hacker News

  • Có ý kiến cho rằng đây là một việc rất ngầu, nhưng có lẽ họ sẽ không dám thử vì sợ CFAA

    • Thật buồn cười khi có bốn ký sinh trùng trên các miền của chính phủ
    • Tò mò không biết khi xâm nhập một hệ thống thì có xóa luôn backdoor của các hacker khác hay không

  • Đã kết nối với AWS Route53 API để mua hàng loạt tên miền

    • Chi phí là $20, và trước đây đã từng làm những việc tệ hơn với số tiền lớn hơn

  • Cảm ơn sự hỗ trợ của The Shadowserver Foundation; họ đã tiếp nhận quyền sở hữu các tên miền liên quan đến nghiên cứu này để tiến hành sinkholing

  • Mong mọi người dùng các thuật ngữ như "thuê" hoặc "mướn" thay cho "mua" và "sở hữu" khi nói về tên miền

    • Nếu tên miền thực sự có thể được mua đứt, thì đã không thể được tái sử dụng trong thí nghiệm này

  • Đã đọc bài này rất thích thú; nó được viết với giọng điệu nhẹ nhàng nhưng vẫn nhận thức rõ tác động của việc công khai

    • Mọi thứ đều đã được chứng minh, nhưng không bị tiếp nhận quá nghiêm trọng
    • Đây là một bài đọc thú vị dù đang bàn về một vấn đề nghiêm trọng

  • Tò mò không biết điều gì sẽ xảy ra nếu dùng backdoor của webshell để xóa webshell

  • Hơi lạc đề, nhưng font của chữ "y" trong bài này khá nổi bật

  • Về mặt kỹ thuật thì đây là nội dung trùng lặp, và đã được gửi hai lần vào tuần trước