Invadindo backdoors por meio de backdoors – outro domínio de US$ 20, mais governos
(labs.watchtowr.com)-
Invadindo backdoors – outro domínio de US$ 20, mais governos
- Em 2024, uma pesquisa que mostrou ser possível emitir certificados TLS/SSL válidos contornando a verificação de propriedade de domínios .MOBI causou grande impacto em toda a internet
- Desta vez, o estudo analisou como aproveitar infraestrutura expirada ou abandonada para acessar milhares de sistemas
- O método consistia em sequestrar backdoors deixados por outros hackers para obter o mesmo nível de acesso aos sistemas, alcançando os mesmos resultados com esforço mínimo
-
Web shells
- Web shells são códigos que instalam um backdoor em um servidor web para permitir ataques adicionais
- Existem vários tipos de web shell, como c99shell, r57shell e China Chopper, que oferecem todas as funções de que um invasor precisa
- Esses web shells frequentemente já vêm com backdoors embutidos para que outros hackers também possam invadir
-
O equívoco dos especialistas em segurança
- Muitos web shells oferecem proteção por senha, mas seus criadores às vezes também incluem uma "chave mestra" que permite acesso a todos os hosts
- Por exemplo, o c99shell pode ser acessado não só com a senha definida pelo atacante, mas também com a senha definida pelo criador
-
Nova pesquisa
- O objetivo foi estudar as vulnerabilidades da internet aproveitando infraestrutura expirada ou abandonada
- Foram coletados diversos web shells, o código protegido foi decifrado e domínios não registrados usados em funções de callback foram extraídos
- A API do AWS Route53 foi usada para registrar domínios em massa e conectá-los a um servidor de logging para registrar as requisições
-
Ligação com a Coreia do Norte?
- Foram encontrados padrões de ataque semelhantes aos do Lazarus Group e do APT37, associados à Coreia do Norte, mas parece que, na prática, outros atacantes apenas reutilizaram ferramentas de nível APT
- Milhares de requisições foram enviadas ao servidor de logging, indicando que os web shells estavam implantados e sendo acessados
-
Domínios .GOV
- Backdoors foram encontrados em domínios de vários órgãos governamentais, com base em informações coletadas por meio de quatro web shells diferentes
-
Conclusão
- Com o envelhecimento da internet e o impacto de infraestruturas expiradas, é esperado que esse tipo de problema continue
- Assim como os defensores, os atacantes também cometem erros, o que contribui para equilibrar a balança entre ataque e defesa
- A watchTowr protege as organizações de seus clientes com testes contínuos de segurança e resposta rápida a ameaças
1 comentários
Comentários no Hacker News
Há a opinião de que não tentariam isso por medo do CFAA, mas que esse trabalho é muito legal
Conectaram-se à API do AWS Route53 e compraram domínios em massa
Agradecem o apoio da The Shadowserver Foundation, que assumiu a posse dos domínios envolvidos nesta pesquisa para fazer o sinkholing
Pedem que, em relação a domínios, sejam usados termos como "alugar" ou "locação" em vez de "comprar" e "possuir"
Gostaram de ler este texto; ele foi escrito de forma leve e demonstra consciência sobre o impacto da divulgação
Fica a curiosidade sobre o que aconteceria se apagassem o webshell usando o backdoor do próprio webshell
Um pouco fora do assunto, mas a fonte da letra "y" neste texto chama a atenção
Tecnicamente é conteúdo duplicado, e já foi enviado duas vezes na semana passada