Intrusi Backdoor yang Disisipkan di Backdoor — Domain $20 Lainnya, Lebih Banyak Pemerintah
(labs.watchtowr.com)- watchTowr Labs mendaftarkan ulang domain yang kedaluwarsa dan terbengkalai untuk mencegat callback backdoor di dalam web shell, lalu mengamati trafik pelaporan dari lebih dari 4.000 backdoor live yang unik
- Jika web shell memiliki fungsi tersembunyi yang mengirim lokasi deployment atau kata sandi ke domain pembuat aslinya, setelah domain tersebut kedaluwarsa pemilik baru dapat menerima log callback
- Objek yang diamati mencakup sistem pemerintah Bangladesh, China, dan Nigeria, serta universitas dan institusi pendidikan tinggi di Thailand, China, Korea Selatan, dan lainnya; log yang terkumpul mencapai lebih dari 300 MB
- Para peneliti mendaftarkan lebih dari 40 domain, lalu mengonfigurasi AWS Route53, sertifikat TLS wildcard, dan server logging Apache; mereka mencatat request dan hanya mengembalikan respons 404
- Infrastruktur yang terbengkalai dapat menjadi jalur akses nyata, bukan hanya untuk verifikasi CA TLS/SSL tetapi juga dalam ekosistem web shell yang digunakan penyerang; domain terkait akan diambil alih oleh The Shadowserver Foundation untuk diproses sebagai sinkhole
Infrastruktur Kedaluwarsa Menjadi Jalur Akses Backdoor
- Dalam riset .MOBI tahun 2024, watchTowr Labs menunjukkan bahwa domain yang tidak terdaftar dapat memengaruhi proses verifikasi kepemilikan domain oleh CA TLS/SSL, dan setelah itu Google mengajukan petisi ke CAB Forum untuk menghapus verifikasi kepemilikan berbasis WHOIS
- Riset kali ini menerapkan kelompok masalah yang sama, yaitu infrastruktur kedaluwarsa dan terbengkalai, pada ekosistem web shell dan backdoor
- Para peneliti mendaftarkan ulang domain kedaluwarsa yang diandalkan oleh backdoor lain yang tertanam di dalam backdoor, lalu mengamati trafik yang dikirim host terinfeksi
- Secara teori, metode ini menciptakan posisi yang memungkinkan pengambilalihan dan kendali atas host yang telah dikompromikan, tetapi para peneliti mengaburkan sebagian besar hostname agar tidak menimbulkan risiko tambahan pada sistem
- Sejauh ini telah diamati lebih dari 4.000 backdoor live yang unik, dan angkanya terus bertambah
Web Shell Adalah Sarana Kendali Jarak Jauh Setelah Kompromi
- Web shell adalah kode yang dideploy setelah server web dikompromikan, dan berfungsi sebagai backdoor yang memungkinkan penyerang melakukan aksi lanjutan
- Bentuk sederhananya adalah kode PHP yang menjalankan perintah seperti
<?php system($_GET['exec']);?> - Bentuk yang lebih kompleks mencakup web shell seperti
c99shell,r57shell, danChina Chopper, yang dapat menyertakan fungsi berikut- Eksekusi perintah
- Menghapus, mengubah, mengunggah, memindahkan, dan mengganti nama file
- Eksekusi kode
- Menghapus diri sendiri
- Men-deploy backdoor tambahan seperti connect-back dan bindshell
- Brute-force FTP
- Klien SQL
c99shelldanr57shelldiperkenalkan sebagai web shell yang pernah banyak digunakan
Lokasinya Bocor ke Pembuat Web Shell
r57shellberisi kode yang memuat gambar berukuran 0 darirst.void.ru, dan sekilas tampak seperti mengirim informasi versi shell saat ini- Namun sebenarnya, melalui header Referer pada request HTTP, lokasi web shell yang baru dideploy terekspos kepada pemilik
rst.void.ru - Artinya, meskipun penyerang mengompromikan target dan memasang web shell, pembuat web shell dapat menerima lokasinya
- Dalam kasus
c99shell, informasi autentikasi di-hardcode, tetapi pemanggilan@extract($_REQUEST["c99shcook"])dapat menimpa variabel di scope saat ini extracttidak aman untuk data yang tidak tepercaya, dan penyerang dapat memasukkan nilaimd5_passdanloginmelalui parameter requestc99shcookuntuk mengganti variabel autentikasi yang ada dan lolos autentikasi
Hanya Mencatat Callback dari Lebih dari 40 Domain
- Para peneliti mengumpulkan web shell dari berbagai bahasa, target, dan periode, lalu membongkar kode yang diobfuskasi dengan base64 dan teknik lain untuk mengekstrak domain yang tidak terdaftar yang tampaknya digunakan untuk callback
- Setelah itu mereka mendaftarkan lebih dari 40 domain secara massal melalui AWS Route53 API
- Contoh domainnya mencakup
aljazeera7.com,alturks.com,caspian-pirates.org,h0ld-up.info,w2img.com,odayexp.com,nettekiadres.com, dan lainnya - Mereka mengonfigurasi sertifikat TLS wildcard dan server web Apache, lalu mengarahkan domain baru tersebut ke server logging
- Server logging hanya mencatat request masuk dan mengembalikan 404; para peneliti hanya menerima request yang dikirim secara sukarela oleh sistem dan tidak merespons dengan menjalankan kode
Callback Web Shell yang Tampak seperti Alat Lazarus
- Ribuan request untuk mengambil gambar
.gifke domain keluargaw2img.comdiamati - Para peneliti menemukan sampel backdoor yang menghasilkan request tersebut, dan menilainya mirip dengan versi yang diketahui digunakan oleh Lazarus pada 2020
- Setelah obfuskasi dihapus, muncul kode yang memuat file
.gifdariimg2.w2img.comdalam bentukbackground:url(...)di CSS - Ketika browser meminta gambar, log server menyimpan Referer bersama request, sehingga lokasi deployment web shell dapat diketahui
- Dari satu backdoor ini saja, lebih dari 3.900 domain unik yang telah dikompromikan diamati
- Browser modern telah berubah sehingga hanya domain yang terekspos di Referer, tetapi ada kasus penyerang yang memakai browser lama sehingga mengirim URL lengkap web shell
Domain Pemerintah dan Institusi Pendidikan Tinggi Juga Termasuk
- Saat mencari domain
.govdi Referer log, muncul beberapa domain terkait pemerintah - Contoh yang dikonfirmasi adalah sebagai berikut
fhc.gov.ng: Nigeria Federal High Court- Domain keluarga
gov.cn - Domain keluarga
gov.bd - Domain keluarga
court.gov.cn
- Dalam kasus Nigeria Federal High Court, empat backdoor berbeda mengirim informasi, dan domain penerima request-nya juga berbeda-beda
- Para peneliti merangkum bahwa dari total sekitar 4.000 sistem yang dikompromikan, ada empat sistem
.gov - Universitas dan institusi pendidikan tinggi di Thailand, China, Korea Selatan, dan wilayah lain juga diamati sebagai target yang dikompromikan
Web Shell yang Mengirim Kata Sandi dalam Plaintext
- Jenis backdoor lain tidak bergantung pada pemuatan gambar dan Referer, melainkan mengirim URL dan informasi tertentu secara langsung sebagai parameter
- Request yang menuju
odayexp.commenyertakan parameterpbersama parameterurl - Dalam kode web shell ASP, nilai
padalah variabelUserPass, yaitu kata sandi yang diperlukan untuk login ke web shell - Penyerang memasang kata sandi pada web shell, tetapi strukturnya membuat kata sandi tersebut dikirim dalam plaintext ke
odayexp.com - Setelah watchTowr memiliki domain tersebut, lokasi web shell dan kata sandinya dikirim ke server logging para peneliti
- Log juga berisi request yang mencakup
localhost, IP privat, dan path pengujian, menunjukkan jejak seseorang yang memodifikasi atau menguji fungsi tersebut
Keterbatasan Interpretasi dan Tindak Lanjut
- Shell yang diamati cenderung condong ke target China, tetapi para peneliti menilai hal itu mungkin mencerminkan data sampel
- IP sumber mudah dipalsukan melalui proxy sehingga sulit dijadikan dasar, tetapi request yang tampak seperti trafik penyerang atau trafik dengan pola pengelolaan yang tidak biasa sangat condong ke rentang IP Hong Kong dan China
- Web shell yang terbuka, domain kedaluwarsa, dan penggunaan perangkat lunak yang ditanami backdoor menunjukkan bahwa penyerang pun dapat melakukan kesalahan seperti halnya defender
- Seperti riset .MOBI sebelumnya, jika domain dibiarkan kedaluwarsa lagi, masalah yang sama dapat terulang, sehingga tetap ada persoalan tanggung jawab
- The Shadowserver Foundation akan mengambil alih domain yang terkait dengan riset ini dan memprosesnya sebagai sinkhole
1 komentar
Komentar Hacker News
Karena takut CFAA, saya tidak akan mencobanya sendiri, tapi pekerjaan ini benar-benar keren. Terutama lucu bahwa satu domain pemerintah ditempeli 4 backdoor parasit
Saya jadi bertanya-tanya apakah para script kiddie, saat mengambil alih sistem, tidak menghapus backdoor milik script kiddie lain agar bisa memonopolinya
Saya berharap kita semua berhenti memakai istilah “membeli” atau “memiliki” untuk domain. “Menyewa” atau “meminjam” lebih tepat, dan kalau itu memang sesuatu yang bisa benar-benar dibeli, domain itu tidak akan bisa tersedia lagi seperti dalam kasus ini
Karena itu, sebagian besar aturan gTLD tidak berlaku untuk ccTLD. Negara bisa dianggap “memiliki” hanya dalam arti bahwa mereka dapat membela penggunaan ccTLD mereka dengan kekuatan militer ketika ICANN atau server root-servers.net tidak lagi menafsirkan TLD itu dengan benar
Ini semacam pemendekan konseptual, di mana kenyataan yang rumit dianggap sebagai pengetahuan umum atau sejak awal dianggap tidak relevan dengan pokok bahasan
Tulisannya benar-benar bagus. Ringan dibaca, tetapi sadar akan dampak publikasinya; semua isinya berdasar, tetapi tidak membungkus diri dengan keseriusan berlebihan
Enak dibaca sekaligus menangani masalah keamanan serius dengan baik
Isinya padat dan tanpa basa-basi, sehingga terasa segar dibanding banyak posting blog atau analisis keamanan yang sering melewatkan hal-hal seperti ini
Saya penasaran apa yang akan terjadi kalau backdoor web shell ini dipakai balik untuk menghapus web shell tersebut
Seperti yang dikatakan para penulis artikel ini, mereka berhati-hati dengan hanya menerima dan mencatat trafik, tidak mengirim respons menarik atau berinteraksi dengan web shell
[1] https://www.malwarebytes.com/blog/news/2024/02/fbi-removes-m...
[2] https://www.zdnet.com/article/a-mysterious-grey-hat-is-patch...
Saya tidak yakin apakah saya memahami bagian ini dengan benar. Ada penjelasan bahwa CSS membuat browser mengambil gambar latar dari URL tertentu sehingga browser meminta file .gif dari w2img.com, dan bahwa browser modern hanya mengungkap domain pada referrer, tetapi penyerang yang memakai browser lama mengirim URL shell lengkap
Namun ungkapan “penyerang memakai browser lama” terasa aneh. Bukankah awalnya penyerang menguasai server yang menyediakan CSS, sementara browser adalah milik pengguna tak bersalah yang mengunjungi server yang sudah dikuasai? Kalau begitu yang memakai browser adalah korban, bukan penyerang
Saya tidak paham dalam situasi apa penyerang memakai browser
Namun file web shell siap pakai seperti ini dibuat oleh penyerang lain dan didistribusikan dalam keadaan sudah ditanami backdoor. Dalam kasus ini, CSS di dalam web shell membuat browser penyerang membocorkan lokasi web shell ke domain yang dikendalikan pembuat aslinya
Sedikit menyimpang, tapi saya tidak mengerti mengapa font huruf y di artikel ini terlihat seperti itu. Terlalu mencolok dan mengganggu mata
Saya mengerti desainer ingin gaya yang khas, tetapi sebagai pengguna akhir, jarang sekali saya menginginkan hal seperti itu
Bagian yang mencolok mungkin memang dimaksudkan untuk sedikit mengganggu, tetapi seperti pernyataan kontroversial, tetap harus masuk akal sampai batas tertentu. Ini mirip strategi beberapa figur online yang secara sadar terus salah melafalkan kata tertentu atau melebih-lebihkan aksen
Kembali ke font, saya ingat situs lirik Genius juga sempat memakai pendekatan serupa. Saat mulai mapan, mereka memakai bentuk huruf kotak dari font Programme, yang bisa dilihat di tautan di bawah. Sekarang mereka masih memakai Programme, tetapi sepertinya sejak beberapa waktu lalu menggunakan bentuk biasa, mungkin karena memang mengganggu dan merusak keterbacaan
https://www.typewolf.com/programme
Ada beberapa typo di tulisan itu. Dalam “with the hopes of painting a paint a clear picture”, a paint tidak perlu, dan dalam “we the following stood out”, we tidak perlu
Selain itu, “Atleast” dalam “Atleast there will be memes...” juga typo
Melihat h0no disebut membuat saya langsung bernostalgia. Rasanya seperti kembali ke era darpanet/m00/#darknet/dikline
Saya penasaran kenapa hampir semua domain disamarkan, tetapi domain Federal High Court of Nigeria dibiarkan
Meski tidak ditulis secara eksplisit, saya berharap mereka sudah melalui proses responsible disclosure
Sepertinya 99% ini berbasis mengamankan domain kedaluwarsa, tapi mereka sama sekali tidak mengatakan bagaimana caranya?
Satu-satunya bagian yang tidak dijelaskan adalah bagaimana mereka menemukan shell di internet, dan alasannya jelas: seperti kata penulisnya, itu adalah barang yang “jatuh dari belakang truk”