Intrusión por backdoors dentro de backdoors: otro dominio de $20, más gobiernos
(labs.watchtowr.com)-
Backdooreando backdoors: otro dominio de $20, más gobiernos
- En 2024, una investigación provocó un gran impacto en todo Internet al demostrar que era posible emitir certificados TLS/SSL válidos evadiendo la verificación de propiedad de dominios .MOBI
- Esta vez, se investigó cómo acceder a miles de sistemas aprovechando infraestructura expirada o abandonada
- El método consistía en secuestrar los backdoors dejados por otros hackers para obtener el mismo acceso a los sistemas, logrando los mismos resultados con el mínimo esfuerzo
-
Web shells
- Un web shell es código que instala un backdoor en un servidor web para permitir ataques adicionales
- Existen muchas variantes de web shells, como c99shell, r57shell y China Chopper, y ofrecen todas las funciones que un atacante necesita
- Estos web shells a menudo vienen con backdoors para que otros hackers también puedan comprometerlos
-
La falsa sensación de seguridad de los expertos
- Muchos web shells ofrecen protección por contraseña, pero a veces el autor original incluye una "llave maestra" que le permite acceder a todos los hosts
- Por ejemplo, c99shell puede ser accedido no solo con la contraseña configurada por el atacante, sino también con una contraseña establecida por su creador
-
Nueva investigación
- Se buscó estudiar la vulnerabilidad de Internet aprovechando infraestructura expirada o abandonada
- Se recopilaron varios web shells, se descifró el código protegido y se extrajeron los dominios no registrados usados en funciones de callback
- Se registraron dominios masivamente usando la API de AWS Route53 y se conectaron a un servidor de logging para registrar las solicitudes
-
¿Conexión con Corea del Norte?
- Se detectaron patrones de ataque similares a los de Corea del Norte, conocidos como Lazarus Group y APT37, pero en realidad parece que otros atacantes reutilizaron herramientas de nivel APT
- Miles de solicitudes fueron enviadas al servidor de logging, lo que indicaba que los web shells habían sido desplegados y accedidos
-
Dominios .GOV
- Se encontraron backdoors en dominios de varias agencias gubernamentales; esta información fue recopilada a través de 4 web shells distintos
-
Conclusión
- Se espera que este problema continúe debido al envejecimiento de Internet y al impacto de la infraestructura expirada
- Los atacantes también cometen errores, igual que los defensores, lo que contribuye a equilibrar la balanza entre ataque y defensa
- watchTowr protege a las organizaciones de sus clientes mediante pruebas de seguridad continuas y una respuesta rápida ante amenazas
1 comentarios
Opiniones en Hacker News
Hay quien opina que, por miedo a la CFAA, probablemente no se atrevería a intentarlo, pero que este trabajo es muy genial
Se conectó a la API de AWS Route53 y compró dominios en masa
Agradece el apoyo de The Shadowserver Foundation, que tomó posesión de los dominios involucrados en esta investigación para realizar el sinkholing
Pide que, en relación con los dominios, en vez de usar los términos "comprar" y "poseer", se usen términos como "arrendar" o "alquilar"
Disfrutó leer este artículo; está escrito con un tono ligero y es consciente del impacto de la divulgación
Se pregunta qué pasaría si se eliminara un web shell usando la puerta trasera de ese mismo web shell
Un poco fuera de tema, pero la tipografía de la letra "y" en este artículo llama la atención
Técnicamente es contenido duplicado; ya se envió dos veces la semana pasada