Кіберзлочинність, боротьба з шахрайством і кіберзлочинність, зловмисне програмне забезпечення як послуга
Вивчаючи бекдори у веб-оболонках, дослідники знайшли 4000 заражених систем
Метью Дж. Шварц (euroinfosec) •
8 січня 2025 р
Що відбувається зі зловмисною інфраструктурою, створеною зловмисниками, після того, як вони припиняють її підтримувати?
Дивіться також: Frost Radar: Cloud Security Posture Management, 2024
Перефразовуючи стару армійську баладу, така інфраструктура ніколи не вмирає, вона просто зникає.
Багато систем, заражених зловмисним кодом, намагатимуться «зателефонувати додому», але не отримають відповіді, якщо хтось інший не візьме під контроль домен, до якого вони звертаються. Багато з цих заражень серверів пов’язані зі шкідливими веб-оболонками. Таке програмне забезпечення встановлюється на заражені сервери, щоб надати зловмисникам віддалений доступ через HTTP, дозволяючи їм запускати команди, завантажувати та виконувати файли, викрадати дані тощо.
Дослідники з постачальника засобів керування атаками watchTowr вирішили вивчити, скільки систем, заражених веб-оболонками, вони можуть виявити, що звертаються до «застарілої та покинутої інфраструктури».
Тепер додайте цю зморшку: щоб відстежити зараження, вони шукали комунікації, пов’язані з жорстко закодованими, але затуманеними бекдорами в популярних веб-оболонках, прихованих їхніми розробниками, щоб вони могли викрасти будь-яке зараження, створене їхнім інструментом.
«Ми виконали місію: зібрати якомога більше веб-оболонок — незалежно від мови, цільового призначення чи віку — деобфускації будь-якого коду, захищеного потужністю base64, і вилучення будь-яких незареєстрованих доменів, які, ймовірно, використовувалися в якомусь зворотному виклику. функцією”, – повідомили дослідники watchTowr.
Вони направляли результати пошуку своїх незареєстрованих доменів до API AWS Route53, що дозволяло їм автоматично реєструвати понад 40 доменів за 20 доларів США за кожен. Домени включені alturks.com, h4cks.in, hackru.info і w2img.com. Потім дослідники перенаправили весь трафік до цих доменів на власний сервер реєстрації, налаштований на отримання та реєстрацію лише всіх вхідних запитів і не відповідав на жодний із них.
«Простіше кажучи: ми викрадали бекдори, які залежали від покинутої інфраструктури та/або прострочених доменів, які самі існували всередині бекдорів, і відтоді спостерігали за потоком результатів», — сказали вони. «Це викрадення дозволило нам відслідковувати скомпрометовані хости, коли вони «повідомляли», і теоретично дало нам можливість керувати цими скомпрометованими хостами та контролювати їх».
Хоча будь-який користувач зі зловмисними намірами цілком може здійснювати таку діяльність, дослідники сказали, що вони провели чітку межу між захопленням і компрометацією хостів, а натомість лише накопичували вхідні дані.
Вони проаналізували свої журнали і наразі нарахували 4000 зламаних систем, що телефонують додому, включаючи урядові системи в Бангладеш, Китаї та Нігерії, а також освітні системи в Китаї, Південній Кореї та Таїланді.
Численні запити простежуються до варіанту бекдору, пов’язаного з атаками 2020 року, пов’язаними з північнокорейською групою Lazarus Group, яку інші зловмисники, можливо, перепрофілювали, призначену для завантаження .gif файл із w2img.com сервер. «Ми побачили понад 3900 унікальних скомпрометованих доменів тільки через цей бекдор — очевидно, це продуктивний інструмент», — сказали вони.
Замість того, щоб дозволити реєстрації доменів, пов’язаних зі зловмисною діяльністю, знову закінчитися та стати доступними для потенційного контролю над доменами, дослідники сказали, що вони передали їх The Shadowserver Foundation, некомерційній організації з безпеки, яка часто вилучає домени, підключені до шкідливих доменів.
Backdoors в Backdoors
Дослідження є нагадуванням про те, що шкідливі варіанти веб-оболонки залишаються численними та часто вільно доступними для початківців зловмисників. Більшість веб-оболонок написані на PHP, який залишається найпоширенішою мовою на стороні сервера, займаючи частку ринку 75% або більше.
За словами дослідників, популярні варіанти веб-оболонки включають оболонку c99 і оболонку r57. Інші приклади включають China Chopper, який був пов’язаний з численними атаками, приписуваними підтримуваним Пекіном урядовим хакерам, у тому числі групі, яка відстежується як APT41.
Однією з примх веб-оболонок, як скористалися дослідники watchTowr, є те, що їх творці часто додають бекдори, що дозволяє їм викрадати заражені сайти у користувачів їхнього інструменту.
Давно ходять чутки на хакерських форумах, дослідження підтверджують цю мерзенну стратегію як факт. Як зазначено в дослідницькій статті «Злодіїв немає честі: широкомасштабний аналіз шкідливих веб-оболонок» за 2016 рік, близько 30% із 1449 веб-оболонок, які досліджували ці дослідники, містили прихований механізм для телефонування додому своєму творцю, так що « оболонки, після виконання, таємно спілкуються з різними третіми сторонами з наміром розкрити місцезнаходження нової оболонки установки».
Знання розташування цих нових інсталяцій оболонок дозволяє розробнику інструменту захопити контроль над веб-оболонками після того, як хтось інший витратив час, зусилля та витрати на їх пошук і зараження.
Шок: серед злодіїв справді немає честі.
Веб-оболонки — не єдиний тип хакерського інструменту, який регулярно піддається бекдору їхніми творцями. У дослідницькій статті також наводяться приклади наборів інструментів для фішингу, призначених для обміну вкраденими обліковими даними не лише з користувачами, але й із творцем набору інструментів, а також розподіленого інструменту відмови в обслуговуванні, призначеного для бекдору будь-якої системи, на якій він був встановлений.
Примітка для користувачів інструментів злому: застереження emptor.