Ne manje od 4.000 jedinstvenih web backdoor-a koje su prethodno postavili različiti hakeri oteto je preuzimanjem kontrole nad napuštenom infrastrukturom koja je istekla za samo 20 dolara po domeni.
Kompanija za cyber sigurnost watchTowr Labs rekla je da je prekinula operaciju registriranjem preko 40 imena domena za koje su backdoors dizajnirani da koriste za komandu i kontrolu (C2). U partnerstvu sa Shadowserver Foundation, domeni uključeni u istraživanje su potopljeni.
“Oteli smo backdoor (koji su se oslanjali na sada napuštenu infrastrukturu i/ili domene koji su istekli) koji su i sami postojali unutar backdoor-a, i od tada smo gledali kako rezultati preplavljuju”, izjavili su izvršni direktor watchTowr Labsa Benjamin Harris i istraživač Aliz Hammond u tehničkom izvještaju. napis prosle sedmice.
“Ova otmica nam je omogućila da pratimo kompromitovane hostove dok su oni ‘prijavljeni’ i teoretski nam je dala moć da preuzmemo i kontrolišemo ove kompromitovane hostove.”
Među ugroženim ciljevima identifikovanim putem beaconing aktivnosti bili su vladini subjekti iz Bangladeša, Kine i Nigerije; i akademske institucije širom Kine, Južne Koreje i Tajlanda, između ostalih.
Backdoor, koja nisu ništa drugo do web ljuske dizajnirane da ponude trajni daljinski pristup ciljnim mrežama za daljnju eksploataciju, razlikuju se po obimu i funkcionalnosti –
- Jednostavne web ljuske koje su sposobne da izvrše komandu koju je dao napadač pomoću PHP koda
- c99shell
- r57shell
- China Chopper , web shell istaknuto od strane China-nexus Advanced Persistent Thread (APT) grupa
I c99shell i r57shell su potpuno opremljene web ljuske sa funkcijama za izvršavanje proizvoljnog koda ili naredbi, izvođenje operacija datoteka, implementaciju dodatnih korisnih opterećenja, brute-force FTP servere i uklanjanje samih sa kompromitovanih hostova.
WatchTowr Labs je rekao da je uočio slučajeve u kojima su neke od web shells bile skrivene od strane održavatelja skripte kako bi procurile lokacije na kojima su bile raspoređene, čime su nenamjerno predali uzde i drugim hakerima.
Razvoj dolazi nekoliko mjeseci nakon što je kompanija otkrila da je potrošila samo 20 dolara na nabavku naslijeđene domene WHOIS servera (“whois.dotmobiregistry[.]net”) povezanog sa .mobi domenom najvišeg nivoa (TLD), identifikujući više od 135.000 jedinstvenih sistema koji su i dalje komunicirali sa serverom čak i nakon što je migrirao na “whois.nic[.]mobi.”
One su se sastojale od raznih privatnih kompanija, kao što je VirusTotal, kao i mail servera za bezbroj vladinih, vojnih i univerzitetskih entiteta. .gov adrese pripadale su Argentini, Bangladešu, Butanu, Etiopiji, Indiji, Indoneziji, Izraelu, Pakistanu, Filipinima, Ukrajini i SAD-u
“Pomalo je ohrabrujuće vidjeti da napadači prave iste greške kao i odbrambeni igrači”, kažu iz watchTowr Labs-a. „Lako je upasti u razmišljanje da napadači nikada ne pogreše, ali vidjeli smo dokaze za suprotno – kutije s otvorenim web shells, domenima s isteklim rokom i korištenjem softvera koji je bio zatvoren.
Izvor:The Hacker News
