Backdoor’a yerleştirilmiş backdoor saldırısı — bir başka 20 dolarlık domain, daha fazla hükümet
(labs.watchtowr.com)- watchTowr Labs, süresi dolmuş ve terk edilmiş domain’leri yeniden kaydederek web shell’lerin içindeki backdoor callback’lerini ele geçirdi ve 4.000’den fazla benzersiz canlı backdoor’dan gelen trafiği gözlemledi
- Bir web shell, dağıtıldığı konumu veya parolayı asıl geliştiricinin domain’ine gönderen gizli bir işleve sahipse, domain süresi dolduktan sonra yeni sahibi callback log’larını alabilir
- Gözlemlenen hedefler arasında Bangladeş, Çin ve Nijerya’nın devlet sistemleri ile Tayland, Çin, Güney Kore gibi ülkelerdeki üniversiteler ve yükseköğretim kurumları yer aldı; log’lar 300 MB’tan fazla birikti
- Araştırmacılar 40’tan fazla domain kaydettikten sonra AWS Route53, wildcard TLS sertifikası ve Apache loglama sunucusu yapılandırdı; istekleri kaydedip yalnızca 404 yanıtı döndürdü
- Terk edilmiş altyapı, yalnızca TLS/SSL CA doğrulaması için değil, saldırganların kullandığı web shell ekosisteminde de gerçek bir erişim yolu hâline gelebilir; ilgili domain’ler The Shadowserver Foundation tarafından devralınıp sinkhole yapılacak
Süresi dolmuş altyapı backdoor erişim yoluna dönüşüyor
- watchTowr Labs, 2024’teki .MOBI araştırmasında kayıtlı olmayan domain’lerin TLS/SSL CA’larının domain sahipliği doğrulama sürecini etkileyebileceğini göstermişti; bunun ardından Google, CAB Forum’a WHOIS tabanlı sahiplik doğrulamasının kaldırılması için başvurdu
- Bu araştırma, aynı sorun grubunu, yani süresi dolmuş ve terk edilmiş altyapıyı, web shell ve backdoor ekosistemine uyguluyor
- Araştırmacılar, backdoor’un içindeki başka bir backdoor’un bağımlı olduğu süresi dolmuş domain’i yeniden kaydederek, enfekte host’lardan gelen trafiği gözlemledi
- Bu yöntem teorik olarak ele geçirilmiş host’ları ele geçirme ve kontrol etme konumu yaratıyor; ancak araştırmacılar sistemler için ek risk oluşturmamak adına host adlarının çoğunu obfuscate etti
- Şu ana kadar 4.000’den fazla benzersiz canlı backdoor gözlemlendi ve sayı artmaya devam ediyor
Web shell, ihlal sonrası bırakılan uzaktan kontrol aracıdır
- Web shell, web sunucusu ihlal edildikten sonra yerleştirilen koddur ve saldırganın sonraki eylemleri gerçekleştirmesini sağlayan bir backdoor görevi görür
- Basit bir biçimi, PHP’de
<?php system($_GET['exec']);?>gibi komut çalıştıran koddur - Daha karmaşık biçimler arasında
c99shell,r57shell,China Choppergibi web shell’ler bulunur ve şu işlevleri içerebilir:- Komut çalıştırma
- Dosya silme, değiştirme, yükleme, taşıma ve yeniden adlandırma
- Kod çalıştırma
- Kendini silme
- connect-back, bindshell gibi ek backdoor dağıtımı
- FTP brute force
- SQL istemcisi
c99shellver57shell, geçmişte yaygın kullanılmış web shell’ler olarak tanıtılıyor
Konum web shell geliştiricisine sızıyor
r57shelliçinderst.void.ruadresinden 0 boyutlu bir görüntü yükleyen kod bulunuyordu; dışarıdan bakıldığında mevcut shell sürümü bilgisini gönderiyor gibi görünüyordu- Gerçekte ise HTTP isteğinin Referer header’ı üzerinden, yeni dağıtılan web shell’in konumu
rst.void.rusahibine ifşa oluyordu - Saldırgan hedefi ihlal edip web shell kursa bile, web shell geliştiricisinin bu konumu alabileceği bir yapı söz konusuydu
c99shellörneğinde kimlik doğrulama bilgileri hard-code edilmiş olsa da@extract($_REQUEST["c99shcook"])çağrısı mevcut scope’taki değişkenlerin üzerine yazabiliyorduextract, güvenilmeyen verilerle kullanıldığında güvenli değildir; saldırganc99shcookistek parametresiylemd5_passvelogindeğerlerini göndererek mevcut kimlik doğrulama değişkenlerini değiştirebilir ve doğrulamayı geçebilir
40’tan fazla domain ile yalnızca callback’ler kaydedildi
- Araştırmacılar farklı diller, hedefler ve dönemlerden web shell’ler topladı; base64 gibi yöntemlerle obfuscate edilmiş kodları açarak callback için kullanıldığı düşünülen kayıtsız domain’leri çıkardı
- Ardından AWS Route53 API ile 40’tan fazla domain’i toplu olarak kaydetti
- Örnek domain’ler arasında
aljazeera7.com,alturks.com,caspian-pirates.org,h0ld-up.info,w2img.com,odayexp.com,nettekiadres.comgibi adresler yer aldı - Wildcard TLS sertifikası ve Apache web sunucusu yapılandırıldı; yeni domain’ler loglama sunucusuna yönlendirildi
- Loglama sunucusu yalnızca gelen istekleri kaydedip 404 döndürdü; araştırmacılar sistemlerin kendiliğinden gönderdiği istekleri aldı, kod çalıştırmaya yol açacak bir yanıt vermedi
Lazarus aracı gibi görünen web shell callback’i
w2img.comailesindeki domain’lerden.gifgörüntüleri alan binlerce istek gözlemlendi- Araştırmacılar bu istekleri oluşturan backdoor örneğini buldu ve bunun 2020’de Lazarus tarafından kullanıldığı bilinen sürüme benzediği kanaatine vardı
- Obfuscation kaldırıldığında, CSS içinde
background:url(...)biçimiyleimg2.w2img.comüzerindeki.gifdosyasını yükleyen kod ortaya çıkıyor - Tarayıcı görüntüyü istediğinde sunucu log’larında istekle birlikte Referer da kalıyor; böylece web shell’in dağıtıldığı konum öğrenilebiliyor
- Yalnızca bu backdoor ile 3.900’den fazla benzersiz ele geçirilmiş domain gözlemlendi
- Güncel tarayıcılar Referer’da yalnızca domain’i gösterecek şekilde değişmiş olsa da eski tarayıcı kullanan saldırganların tam web shell URL’sini gönderdiği örnekler var
Devlet domain’leri ve yükseköğretim kurumları da dahil
- Log’lardaki Referer içinde
.govdomain’leri arandığında, devletle ilişkili birden çok domain ortaya çıktı - Doğrulanan örnekler şunlar:
fhc.gov.ng: Nijerya Federal Yüksek Mahkemesigov.cnailesindeki domain’lergov.bdailesindeki domain’lercourt.gov.cnailesindeki domain’ler
- Nijerya Federal Yüksek Mahkemesi örneğinde dört farklı backdoor bilgi gönderdi ve isteği alan domain’ler de birbirinden farklıydı
- Araştırmacılar, yaklaşık 4.000 ele geçirilmiş sistemin tamamı içinde dört
.govsistemi olduğunu belirtti - Tayland, Çin ve Güney Kore gibi yerlerdeki üniversiteler ve yükseköğretim kurumları da ele geçirilmiş hedefler arasında gözlemlendi
Parolayı düz metin olarak gönderen web shell
- Başka bir backdoor türü, görüntü yükleme ve Referer’a dayanmak yerine URL’yi ve belirli bilgileri doğrudan parametre olarak gönderiyor
odayexp.comadresine giden isteklerdeurlparametresiyle birliktepparametresi de yer aldı- ASP web shell kodunda
pdeğeriUserPassdeğişkeniydi; bu da web shell’e giriş için gereken parolaydı - Saldırgan web shell’e parola koymuştu, ancak bu parola düz metin olarak
odayexp.comadresine gönderilecek şekilde tasarlanmıştı - watchTowr bu domain’in sahibi olunca, web shell konumu ve parolası araştırmacıların loglama sunucusuna iletildi
- Log’larda
localhost, özel IP’ler ve test yolları içeren istekler de vardı; bu da birilerinin bu işlevi değiştirdiğine veya test ettiğine işaret ediyor
Yorumlamanın sınırları ve sonraki adımlar
- Gözlemlenen shell’ler Çin hedeflerinde yoğunlaşmıştı; ancak araştırmacılar bunun örnek veri setinin bir yansıması olabileceğini düşünüyor
- Kaynak IP’ler proxy kullanımı kolay olduğu için sağlam kanıt sayılmakta zor; buna rağmen saldırgan trafiği veya alışılmadık bir yönetim biçimine ait trafik gibi görünen istekler Hong Kong ve Çin IP aralıklarında güçlü biçimde yoğunlaşmıştı
- Açık web shell’ler, süresi dolmuş domain’ler ve içine backdoor yerleştirilmiş yazılım kullanımı, saldırganların da savunmacılar gibi hata yaptığını gösteriyor
- Önceki .MOBI araştırmasında olduğu gibi, domain’ler tekrar süresi dolmuş hâle bırakılırsa aynı sorun tekrarlanabilir; bu yüzden sorumluluk meselesi devam ediyor
- The Shadowserver Foundation, bu araştırmayla ilgili domain’leri devralıp sinkhole yapacak
1 yorum
Hacker News yorumları
CFAA’den çekindiğim için kendim denemeye cesaret edemem ama bu çalışma gerçekten harika. Özellikle bir devlet alan adına 4 parazit arka kapı takılmış olması komik.
Script kiddie’ler bir sistemi ele geçirdiklerinde diğer script kiddie’nin arka kapısını silip tekel kurmuyor mu acaba diye düşündürüyor.
Alan adları için artık hep birlikte “satın almak” ya da “sahip olmak” ifadelerini kullanmayı bıraksak iyi olur. “Kiralamak” ya da “ödünç almak” daha doğru; gerçekten satın alınabilen bir şey olsaydı, bu örnekteki gibi yeniden kullanıma açılmazdı.
Bu yüzden gTLD kurallarının çoğu ccTLD’lere uygulanmaz. Bir ülkenin bir ccTLD’ye “sahip” olduğu tek anlam, ICANN ya da root-servers.net sunucuları TLD’yi doğru çözümlememeye başladığında, kendi ccTLD kullanımını askeri güçle savunabilmesidir.
Dağınık gerçeklik ya sağduyu olarak arka planda varsayılır ya da baştan konu dışı kabul edilen bir kavramsal kısaltmadır.
Yazı gerçekten çok iyiydi. Rahat okunuyor ama yayımlanmasının yaratacağı etkinin farkında; her şey dayanaklı, buna rağmen kendini gereğinden fazla ciddiye alıyormuş gibi sunmuyor.
Hem eğlenceli okunuyor hem de ciddi bir güvenlik sorununu iyi ele alıyor.
İçerik dolu ve fazlalıksız; bu da bu noktaları sıkça kaçıran birçok blog yazısı ya da güvenlik analizine kıyasla ferahlatıcı.
Bu web shell arka kapısını tersine kullanıp web shell’i silerseniz ne olur merak ediyorum.
Bu yazının yazarlarının da söylediği gibi, yalnızca trafiği alma ve kaydetme sınırında dikkatle kaldılar; ilginç yanıtlar göndermediler ya da web shell ile etkileşime girmediler.
[1] https://www.malwarebytes.com/blog/news/2024/02/fbi-removes-m...
[2] https://www.zdnet.com/article/a-mysterious-grey-hat-is-patch...
Bu kısmı doğru anlayıp anlamadığımdan emin değilim. CSS’in belirli bir URL’den arka plan görseli çekecek şekilde ayarlandığı, böylece tarayıcının w2img.com’daki .gif dosyasını istediği anlatılıyor; ayrıca modern tarayıcıların yönlendiren bilgisinde yalnızca alan adını açığa çıkardığı, ama eski tarayıcı kullanan saldırganların tam shell URL’sini gönderdiği söyleniyor.
Ama “saldırgan eski tarayıcı kullanıyor” ifadesi garip. Normalde saldırgan CSS’i sunan sunucuyu ele geçirmiş, tarayıcı ise ele geçirilmiş sunucuyu ziyaret eden masum kullanıcıya ait değil mi? O halde tarayıcıyı kullanan saldırgan değil kurban gibi görünüyor.
Hangi durumda saldırganın tarayıcı kullandığını anlayamadım.
Ancak bu hazır web shell dosyaları başka bir saldırgan tarafından hazırlanmış ve zaten içine arka kapı yerleştirilmiş halde dağıtılmıştır. Bu durumda web shell’in içindeki CSS, saldırganın tarayıcısının web shell’in konumunu orijinal geliştiricinin kontrol ettiği alan adına sızdırmasına yol açar.
Biraz konu dışı ama bu yazıdaki y harfinin yazı tipinde neden öyle göründüğünü anlamıyorum. Çok fazla öne çıkıyor ve gözüme batıyor.
Tasarımcının kendine özgü bir tarz istemesini anlıyorum, ama son kullanıcı olarak bunu istediğim pek olmuyor.
Göze batan kısım biraz rahatsız etme niyeti taşıyor olabilir; ama tartışmalı bir ifade gibi, yine de bir ölçüde anlamlı olması gerekir. Bazı çevrimiçi figürlerin belirli kelimeleri bilinçli olarak sürekli yanlış telaffuz etmesi ya da vurguyu abartması stratejisine benziyor.
Yazı tiplerine dönersek, Genius şarkı sözü sitesinin de bir dönem benzer bir yöntem kullandığını hatırlıyorum. Yerleşme dönemlerinde Programme yazı tipinin karemsi harf formlarını kullanıyorlardı; aşağıdaki bağlantıda görülebilir. Hâlâ Programme kullanıyorlar, ama bir süredir normal formları kullanıyor gibiler; muhtemelen gerçekten göze battığı ve okunabilirliği bozduğu için.
https://www.typewolf.com/programme
Yazıda birkaç yazım hatası var. “with the hopes of painting a paint a clear picture” ifadesinde a paint gereksiz; “we the following stood out” ifadesinde de we gereksiz.
Ayrıca “Atleast there will be memes...” içindeki “Atleast” de yazım hatası.
h0no’dan söz edildiğini görünce eski günler birden aklıma geldi. darpanet/m00/#darknet/dikline dönemlerine dönmüş gibi oldum.
Neredeyse tüm alan adları gizlenmişken neden yalnızca Federal High Court of Nigeria alan adının bırakıldığını merak ediyorum.
Açıkça yazmıyor ama sorumlu açıklama sürecinden geçmiş olmalarını umuyorum.
%99’u süresi dolmuş alan adını ele geçirmeye dayanıyor gibi; bunu nasıl yaptıklarına dair hiçbir şey söylememişler mi?
Açıklamadıkları tek kısım, shell’leri internette nasıl buldukları; bunun da bariz nedenleri var ve yazarların ifadesiyle bunlar “kamyonun arkasından düşmüş” şeyler.