Menyusupi backdoor lewat backdoor — domain $20 lainnya, lebih banyak pemerintah

Membelakangi backdoor dengan backdoor - domain $20 lainnya, lebih banyak pemerintah

• Pada 2024, riset yang memungkinkan penerbitan sertifikat TLS/SSL yang valid dengan melewati verifikasi kepemilikan domain .MOBI menimbulkan dampak besar di seluruh internet
• Kali ini, peneliti meneliti cara mengakses ribuan sistem dengan memanfaatkan infrastruktur yang sudah kedaluwarsa atau ditinggalkan
• Caranya adalah dengan mengambil alih backdoor yang ditinggalkan peretas lain untuk memperoleh hak akses ke sistem yang sama, sehingga hasil yang sama bisa didapat dengan upaya minimal

Web shell

• Web shell adalah kode yang memasang backdoor pada web server agar serangan lanjutan dapat dilakukan
• Ada berbagai bentuk web shell seperti c99shell, r57shell, dan China Chopper, yang menyediakan semua fungsi yang dibutuhkan penyerang
• Web shell semacam ini sering kali juga dipasangi backdoor agar bisa diretas oleh peretas lain

Salah kaprah para ahli keamanan

• Banyak web shell menyediakan perlindungan kata sandi, tetapi pembuat aslinya kadang juga menyertakan 'master key' yang memungkinkan akses ke semua host
• Sebagai contoh, c99shell bisa diakses bukan hanya dengan kata sandi yang ditetapkan penyerang, tetapi juga dengan kata sandi yang ditetapkan pembuatnya

Riset baru

• Tujuannya adalah meneliti kerentanan internet dengan memanfaatkan infrastruktur yang sudah kedaluwarsa atau ditinggalkan
• Berbagai web shell dikumpulkan, kode yang diproteksi diuraikan, lalu domain yang belum terdaftar yang digunakan dalam fungsi callback diekstrak
• Dengan menggunakan AWS Route53 API, domain-domain itu didaftarkan secara massal dan dihubungkan ke server logging untuk mencatat permintaan

Koneksi dengan Korea Utara?

• Ditemukan pola serangan yang mirip dengan Korea Utara yang dikenal sebagai Lazarus Group dan APT37, tetapi tampaknya sebenarnya alat setingkat APT itu digunakan ulang oleh penyerang lain
• Ribuan permintaan dikirim ke server logging, yang berfungsi memberi tahu bahwa web shell telah dideploy dan diakses

Domain .GOV

• Backdoor ditemukan pada domain milik berbagai lembaga pemerintah, dan ini merupakan informasi yang dikumpulkan melalui 4 web shell yang berbeda

Kesimpulan

• Karena penuaan internet dan dampak infrastruktur kedaluwarsa, masalah seperti ini diperkirakan akan terus berlanjut
• Penyerang, sama seperti pihak bertahan, juga melakukan kesalahan, dan hal ini membantu menyeimbangkan serangan dan pertahanan
• watchTowr melindungi organisasi pelanggan melalui pengujian keamanan berkelanjutan dan respons ancaman yang cepat