Arka Kapı Üzerinden Arka Kapı İstilası – Bir Başka 20 Dolarlık Alan Adı, Daha Fazla Hükümet

 (labs.watchtowr.com)
1 puan yazan GN⁺ 2025-01-13 | 1 yorum | WhatsApp'ta paylaş

  • Arka kapıları arkadan kapılamak - bir başka 20 dolarlık alan adı, daha fazla hükümet

    • 2024'te, .MOBI alan adlarında sahiplik doğrulamasını atlayarak geçerli TLS/SSL sertifikaları düzenlenmesine olanak tanıyan bir araştırma, internet genelinde büyük bir etki yaratmıştı
    • Bu kez, süresi dolmuş veya terk edilmiş altyapılardan yararlanarak binlerce sisteme nasıl erişilebileceği araştırıldı
    • Başka hacker'ların bıraktığı arka kapılar ele geçirilerek aynı sistem erişim yetkisi elde edildi ve böylece çok az çabayla aynı sonuca ulaşılabildi

  • Web shell

    • Web shell, web sunucusuna arka kapı yerleştirip ek saldırılar yürütmeye olanak tanıyan bir koddur
    • c99shell, r57shell, China Chopper gibi çeşitli web shell türleri vardır ve bunlar saldırganın ihtiyaç duyduğu tüm işlevleri sunar
    • Bu web shell'ler çoğu zaman başka hacker'ların da sistemi ele geçirebilmesi için ayrıca arka kapılı olarak gelir

  • Güvenlik uzmanlarının yanılgısı

    • Birçok web shell parola koruması sunsa da, asıl geliştirici bazen tüm host'lara erişim sağlayan bir 'master key' de bırakır
    • Örneğin c99shell, saldırganın belirlediği parolanın yanı sıra geliştiricinin belirlediği parola ile de erişime izin verebilir

  • Yeni araştırma

    • Amaç, süresi dolmuş veya terk edilmiş altyapılardan yararlanarak internetin kırılganlığını incelemekti
    • Çeşitli web shell'ler toplandı, korumalı kod çözüldü ve callback işlevlerinde kullanılan kayıtsız alan adları çıkarıldı
    • AWS Route53 API kullanılarak toplu biçimde alan adları kaydedildi ve istekleri kaydetmek için bunlar bir logging sunucusuna bağlandı

  • Kuzey Kore ile bağlantı?

    • Lazarus Group ve APT37 gibi Kuzey Kore bağlantılı gruplara benzeyen saldırı örüntüleri bulundu, ancak gerçekte APT düzeyindeki araçları yeniden kullanan başka saldırganlar olduğu anlaşılıyor
    • Logging sunucusuna binlerce istek gönderildi; bu da web shell'lerin dağıtıldığını ve erişildiğini gösteriyordu

  • .GOV alan adları

    • Birden fazla devlet kurumuna ait alan adında arka kapı bulundu; bu bilgiler 4 farklı web shell üzerinden toplandı

  • Sonuç

    • İnternet altyapısının yaşlanması ve süresi dolmuş altyapıların etkisi nedeniyle bu tür sorunların sürmesi bekleniyor
    • Saldırganlar da savunmacılar kadar hata yapıyor ve bu durum saldırı ile savunma arasındaki dengeye katkı sağlıyor
    • watchTowr, sürekli güvenlik testleri ve hızlı tehdit müdahalesiyle müşterilerinin organizasyonlarını koruyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-01-13
Hacker News görüşleri

  • CFAA korkusu yüzünden bunu denemeyeceğini, ama bu çalışmanın çok havalı olduğunu söyleyen bir görüş var

    • Devlet alan adlarında dört parazitin bulunması eğlenceli
    • Bir sistemi hacklerken başka bir hackerın arka kapısını da kaldırıp kaldırmadıklarını merak ediyor

  • AWS Route53 API'ye bağlanarak toplu şekilde alan adı satın almış

    • Maliyet $20 ve daha fazla parayla daha kötü şeyler yaptığı olmuş

  • The Shadowserver Foundation'ın desteği için teşekkür ediyor; bu araştırmada yer alan alan adlarının mülkiyeti devralınarak sinkhole işlemi yapılmış

  • Alan adları için "satın alma" ve "sahip olma" terimleri yerine "kiralama" veya "ödünç alma" gibi terimlerin kullanılmasını istiyor

    • Eğer alan adları gerçekten satın alınabiliyor olsaydı, bu deneyde tekrar kullanılamazlardı

  • Bu yazıyı keyifle okuduğunu, hafif bir tonda yazıldığını ve ifşanın etkisinin farkında olduğunu söylüyor

    • Her şey kanıtlanmış, ama bunu fazla ciddiye almıyor
    • Ciddi bir sorundan bahsederken bile keyifli bir okuma olmuş

  • Web shell'in arka kapısını kullanarak web shell'i silince ne olacağını merak ediyor

  • Biraz konu dışı ama bu yazıdaki "y" harfinin fontu dikkat çekiyor

  • Teknik olarak mükerrer içerik; geçen hafta iki kez gönderilmişti