1 poin oleh GN⁺ 2025-01-13 | 1 komentar | Bagikan ke WhatsApp
  • watchTowr Labs mendaftarkan ulang domain yang kedaluwarsa dan terbengkalai untuk mencegat callback backdoor di dalam web shell, lalu mengamati trafik pelaporan dari lebih dari 4.000 backdoor live yang unik
  • Jika web shell memiliki fungsi tersembunyi yang mengirim lokasi deployment atau kata sandi ke domain pembuat aslinya, setelah domain tersebut kedaluwarsa pemilik baru dapat menerima log callback
  • Objek yang diamati mencakup sistem pemerintah Bangladesh, China, dan Nigeria, serta universitas dan institusi pendidikan tinggi di Thailand, China, Korea Selatan, dan lainnya; log yang terkumpul mencapai lebih dari 300 MB
  • Para peneliti mendaftarkan lebih dari 40 domain, lalu mengonfigurasi AWS Route53, sertifikat TLS wildcard, dan server logging Apache; mereka mencatat request dan hanya mengembalikan respons 404
  • Infrastruktur yang terbengkalai dapat menjadi jalur akses nyata, bukan hanya untuk verifikasi CA TLS/SSL tetapi juga dalam ekosistem web shell yang digunakan penyerang; domain terkait akan diambil alih oleh The Shadowserver Foundation untuk diproses sebagai sinkhole

Infrastruktur Kedaluwarsa Menjadi Jalur Akses Backdoor

  • Dalam riset .MOBI tahun 2024, watchTowr Labs menunjukkan bahwa domain yang tidak terdaftar dapat memengaruhi proses verifikasi kepemilikan domain oleh CA TLS/SSL, dan setelah itu Google mengajukan petisi ke CAB Forum untuk menghapus verifikasi kepemilikan berbasis WHOIS
  • Riset kali ini menerapkan kelompok masalah yang sama, yaitu infrastruktur kedaluwarsa dan terbengkalai, pada ekosistem web shell dan backdoor
  • Para peneliti mendaftarkan ulang domain kedaluwarsa yang diandalkan oleh backdoor lain yang tertanam di dalam backdoor, lalu mengamati trafik yang dikirim host terinfeksi
  • Secara teori, metode ini menciptakan posisi yang memungkinkan pengambilalihan dan kendali atas host yang telah dikompromikan, tetapi para peneliti mengaburkan sebagian besar hostname agar tidak menimbulkan risiko tambahan pada sistem
  • Sejauh ini telah diamati lebih dari 4.000 backdoor live yang unik, dan angkanya terus bertambah

Web Shell Adalah Sarana Kendali Jarak Jauh Setelah Kompromi

  • Web shell adalah kode yang dideploy setelah server web dikompromikan, dan berfungsi sebagai backdoor yang memungkinkan penyerang melakukan aksi lanjutan
  • Bentuk sederhananya adalah kode PHP yang menjalankan perintah seperti <?php system($_GET['exec']);?>
  • Bentuk yang lebih kompleks mencakup web shell seperti c99shell, r57shell, dan China Chopper, yang dapat menyertakan fungsi berikut
    • Eksekusi perintah
    • Menghapus, mengubah, mengunggah, memindahkan, dan mengganti nama file
    • Eksekusi kode
    • Menghapus diri sendiri
    • Men-deploy backdoor tambahan seperti connect-back dan bindshell
    • Brute-force FTP
    • Klien SQL
  • c99shell dan r57shell diperkenalkan sebagai web shell yang pernah banyak digunakan

Lokasinya Bocor ke Pembuat Web Shell

  • r57shell berisi kode yang memuat gambar berukuran 0 dari rst.void.ru, dan sekilas tampak seperti mengirim informasi versi shell saat ini
  • Namun sebenarnya, melalui header Referer pada request HTTP, lokasi web shell yang baru dideploy terekspos kepada pemilik rst.void.ru
  • Artinya, meskipun penyerang mengompromikan target dan memasang web shell, pembuat web shell dapat menerima lokasinya
  • Dalam kasus c99shell, informasi autentikasi di-hardcode, tetapi pemanggilan @extract($_REQUEST["c99shcook"]) dapat menimpa variabel di scope saat ini
  • extract tidak aman untuk data yang tidak tepercaya, dan penyerang dapat memasukkan nilai md5_pass dan login melalui parameter request c99shcook untuk mengganti variabel autentikasi yang ada dan lolos autentikasi

Hanya Mencatat Callback dari Lebih dari 40 Domain

  • Para peneliti mengumpulkan web shell dari berbagai bahasa, target, dan periode, lalu membongkar kode yang diobfuskasi dengan base64 dan teknik lain untuk mengekstrak domain yang tidak terdaftar yang tampaknya digunakan untuk callback
  • Setelah itu mereka mendaftarkan lebih dari 40 domain secara massal melalui AWS Route53 API
  • Contoh domainnya mencakup aljazeera7.com, alturks.com, caspian-pirates.org, h0ld-up.info, w2img.com, odayexp.com, nettekiadres.com, dan lainnya
  • Mereka mengonfigurasi sertifikat TLS wildcard dan server web Apache, lalu mengarahkan domain baru tersebut ke server logging
  • Server logging hanya mencatat request masuk dan mengembalikan 404; para peneliti hanya menerima request yang dikirim secara sukarela oleh sistem dan tidak merespons dengan menjalankan kode

Callback Web Shell yang Tampak seperti Alat Lazarus

  • Ribuan request untuk mengambil gambar .gif ke domain keluarga w2img.com diamati
  • Para peneliti menemukan sampel backdoor yang menghasilkan request tersebut, dan menilainya mirip dengan versi yang diketahui digunakan oleh Lazarus pada 2020
  • Setelah obfuskasi dihapus, muncul kode yang memuat file .gif dari img2.w2img.com dalam bentuk background:url(...) di CSS
  • Ketika browser meminta gambar, log server menyimpan Referer bersama request, sehingga lokasi deployment web shell dapat diketahui
  • Dari satu backdoor ini saja, lebih dari 3.900 domain unik yang telah dikompromikan diamati
  • Browser modern telah berubah sehingga hanya domain yang terekspos di Referer, tetapi ada kasus penyerang yang memakai browser lama sehingga mengirim URL lengkap web shell

Domain Pemerintah dan Institusi Pendidikan Tinggi Juga Termasuk

  • Saat mencari domain .gov di Referer log, muncul beberapa domain terkait pemerintah
  • Contoh yang dikonfirmasi adalah sebagai berikut
    • fhc.gov.ng: Nigeria Federal High Court
    • Domain keluarga gov.cn
    • Domain keluarga gov.bd
    • Domain keluarga court.gov.cn
  • Dalam kasus Nigeria Federal High Court, empat backdoor berbeda mengirim informasi, dan domain penerima request-nya juga berbeda-beda
  • Para peneliti merangkum bahwa dari total sekitar 4.000 sistem yang dikompromikan, ada empat sistem .gov
  • Universitas dan institusi pendidikan tinggi di Thailand, China, Korea Selatan, dan wilayah lain juga diamati sebagai target yang dikompromikan

Web Shell yang Mengirim Kata Sandi dalam Plaintext

  • Jenis backdoor lain tidak bergantung pada pemuatan gambar dan Referer, melainkan mengirim URL dan informasi tertentu secara langsung sebagai parameter
  • Request yang menuju odayexp.com menyertakan parameter p bersama parameter url
  • Dalam kode web shell ASP, nilai p adalah variabel UserPass, yaitu kata sandi yang diperlukan untuk login ke web shell
  • Penyerang memasang kata sandi pada web shell, tetapi strukturnya membuat kata sandi tersebut dikirim dalam plaintext ke odayexp.com
  • Setelah watchTowr memiliki domain tersebut, lokasi web shell dan kata sandinya dikirim ke server logging para peneliti
  • Log juga berisi request yang mencakup localhost, IP privat, dan path pengujian, menunjukkan jejak seseorang yang memodifikasi atau menguji fungsi tersebut

Keterbatasan Interpretasi dan Tindak Lanjut

  • Shell yang diamati cenderung condong ke target China, tetapi para peneliti menilai hal itu mungkin mencerminkan data sampel
  • IP sumber mudah dipalsukan melalui proxy sehingga sulit dijadikan dasar, tetapi request yang tampak seperti trafik penyerang atau trafik dengan pola pengelolaan yang tidak biasa sangat condong ke rentang IP Hong Kong dan China
  • Web shell yang terbuka, domain kedaluwarsa, dan penggunaan perangkat lunak yang ditanami backdoor menunjukkan bahwa penyerang pun dapat melakukan kesalahan seperti halnya defender
  • Seperti riset .MOBI sebelumnya, jika domain dibiarkan kedaluwarsa lagi, masalah yang sama dapat terulang, sehingga tetap ada persoalan tanggung jawab
  • The Shadowserver Foundation akan mengambil alih domain yang terkait dengan riset ini dan memprosesnya sebagai sinkhole

1 komentar

 
GN⁺ 2025-01-13
Komentar Hacker News
  • Karena takut CFAA, saya tidak akan mencobanya sendiri, tapi pekerjaan ini benar-benar keren. Terutama lucu bahwa satu domain pemerintah ditempeli 4 backdoor parasit
    Saya jadi bertanya-tanya apakah para script kiddie, saat mengambil alih sistem, tidak menghapus backdoor milik script kiddie lain agar bisa memonopolinya
    Saya berharap kita semua berhenti memakai istilah “membeli” atau “memiliki” untuk domain. “Menyewa” atau “meminjam” lebih tepat, dan kalau itu memang sesuatu yang bisa benar-benar dibeli, domain itu tidak akan bisa tersedia lagi seperti dalam kasus ini

    • Dalam konteks seperti ini, apa tepatnya arti “membeli” juga agak ambigu. Bahkan negara pun sulit disebut “memiliki” ccTLD mereka sendiri, tetapi ICANN telah cukup serius merumuskan kebijakan bahwa “ccTLD harus diperlakukan seolah-olah dimiliki oleh negara tersebut” demi menghindari ketegangan di namespace internet
      Karena itu, sebagian besar aturan gTLD tidak berlaku untuk ccTLD. Negara bisa dianggap “memiliki” hanya dalam arti bahwa mereka dapat membela penggunaan ccTLD mereka dengan kekuatan militer ketika ICANN atau server root-servers.net tidak lagi menafsirkan TLD itu dengan benar
    • Kalau dilihat sangat miring, semua properti fisik dan digital bisa juga disebut sewaan
    • Ini seperti sifat manusia dan “fungsi” bahasa Inggris. Orang menyebut mobil yang mereka leasing atau nomor telepon sebagai “mobil saya”, “nomor saya”, dan tetap menyebutnya “rumah saya” meski rumah itu dibeli dengan KPR yang hampir tanpa modal
      Ini semacam pemendekan konseptual, di mana kenyataan yang rumit dianggap sebagai pengetahuan umum atau sejak awal dianggap tidak relevan dengan pokok bahasan
  • Tulisannya benar-benar bagus. Ringan dibaca, tetapi sadar akan dampak publikasinya; semua isinya berdasar, tetapi tidak membungkus diri dengan keseriusan berlebihan
    Enak dibaca sekaligus menangani masalah keamanan serius dengan baik

    • Saya juga merasakan hal yang sama dari tulisan ini dan tulisan sebelumnya tentang .mobi. Konteksnya cukup, penjelasannya bagus, ringan dan keren tanpa buzzword, tetapi tidak memaksakan diri agar terlihat keren
      Isinya padat dan tanpa basa-basi, sehingga terasa segar dibanding banyak posting blog atau analisis keamanan yang sering melewatkan hal-hal seperti ini
    • Saya juga suka ada WordArt, hanya sayang tidak memakai efek pelangi
  • Saya penasaran apa yang akan terjadi kalau backdoor web shell ini dipakai balik untuk menghapus web shell tersebut

  • Saya tidak yakin apakah saya memahami bagian ini dengan benar. Ada penjelasan bahwa CSS membuat browser mengambil gambar latar dari URL tertentu sehingga browser meminta file .gif dari w2img.com, dan bahwa browser modern hanya mengungkap domain pada referrer, tetapi penyerang yang memakai browser lama mengirim URL shell lengkap
    Namun ungkapan “penyerang memakai browser lama” terasa aneh. Bukankah awalnya penyerang menguasai server yang menyediakan CSS, sementara browser adalah milik pengguna tak bersalah yang mengunjungi server yang sudah dikuasai? Kalau begitu yang memakai browser adalah korban, bukan penyerang
    Saya tidak paham dalam situasi apa penyerang memakai browser

    • Web shell adalah halaman, biasanya file .php, yang diunggah penyerang ke sebuah situs setelah kompromi seperti RCE, lalu penyerang membuka halaman itu dengan browsernya sendiri untuk melakukan pekerjaan lanjutan di web server yang telah dikompromikan
      Namun file web shell siap pakai seperti ini dibuat oleh penyerang lain dan didistribusikan dalam keadaan sudah ditanami backdoor. Dalam kasus ini, CSS di dalam web shell membuat browser penyerang membocorkan lokasi web shell ke domain yang dikendalikan pembuat aslinya
  • Sedikit menyimpang, tapi saya tidak mengerti mengapa font huruf y di artikel ini terlihat seperti itu. Terlalu mencolok dan mengganggu mata

    • Hal seperti ini cukup sering mengganggu, jadi saya mematikan downloadable_fonts. Menurut saya web adalah tempat membaca teks, jadi saya tidak menyukai font kustom yang merusak keterbacaan
      Saya mengerti desainer ingin gaya yang khas, tetapi sebagai pengguna akhir, jarang sekali saya menginginkan hal seperti itu
    • Memang begitu desain font-nya: https://abcdinamo.com/typefaces/favorit
    • Sepertinya beberapa font sengaja memasukkan elemen seperti ini agar punya ciri pembeda. Pasar font sangat jenuh, jadi ini bisa membantu mereka menonjol di antara tiruan yang mirip-mirip
      Bagian yang mencolok mungkin memang dimaksudkan untuk sedikit mengganggu, tetapi seperti pernyataan kontroversial, tetap harus masuk akal sampai batas tertentu. Ini mirip strategi beberapa figur online yang secara sadar terus salah melafalkan kata tertentu atau melebih-lebihkan aksen
      Kembali ke font, saya ingat situs lirik Genius juga sempat memakai pendekatan serupa. Saat mulai mapan, mereka memakai bentuk huruf kotak dari font Programme, yang bisa dilihat di tautan di bawah. Sekarang mereka masih memakai Programme, tetapi sepertinya sejak beberapa waktu lalu menggunakan bentuk biasa, mungkin karena memang mengganggu dan merusak keterbacaan
      https://www.typewolf.com/programme
  • Ada beberapa typo di tulisan itu. Dalam “with the hopes of painting a paint a clear picture”, a paint tidak perlu, dan dalam “we the following stood out”, we tidak perlu
    Selain itu, “Atleast” dalam “Atleast there will be memes...” juga typo

  • Melihat h0no disebut membuat saya langsung bernostalgia. Rasanya seperti kembali ke era darpanet/m00/#darknet/dikline

  • Saya penasaran kenapa hampir semua domain disamarkan, tetapi domain Federal High Court of Nigeria dibiarkan
    Meski tidak ditulis secara eksplisit, saya berharap mereka sudah melalui proses responsible disclosure

  • Sepertinya 99% ini berbasis mengamankan domain kedaluwarsa, tapi mereka sama sekali tidak mengatakan bagaimana caranya?

    • Saya tidak tahu apakah Anda benar-benar membaca artikelnya. Itu dijelaskan dengan cukup rinci. Mereka tidak “membajak” catatan DNS; mereka membeli domain yang sudah kedaluwarsa dan tersedia kembali
      Satu-satunya bagian yang tidak dijelaskan adalah bagaimana mereka menemukan shell di internet, dan alasannya jelas: seperti kata penulisnya, itu adalah barang yang “jatuh dari belakang truk”