बैकडोर के ज़रिए बैकडोर में घुसपैठ – एक और $20 डोमेन, और ज़्यादा सरकारें

 (labs.watchtowr.com)
1 पॉइंट द्वारा GN⁺ 2025-01-13 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • बैकडोर को बैकडोर करना - एक और $20 डोमेन, और ज़्यादा सरकारें

    • 2024 में, .MOBI डोमेन ownership verification को bypass करके वैध TLS/SSL certificate जारी किए जा सकने वाले एक शोध ने पूरे इंटरनेट पर बड़ा असर डाला था
    • इस बार, समाप्त हो चुकी या छोड़ दी गई infrastructure का उपयोग करके हज़ारों systems तक पहुंचने के तरीकों का अध्ययन किया गया
    • दूसरे hackers द्वारा छोड़े गए backdoor को hijack करके उसी system access को हासिल करने का तरीका था, जिससे बहुत कम मेहनत में वही नतीजा पाया जा सकता था

  • Web shell

    • Web shell वह code है जो web server पर backdoor स्थापित करता है ताकि आगे के हमले किए जा सकें
    • c99shell, r57shell, China Chopper जैसे कई प्रकार के web shell मौजूद हैं, जो हमलावर को ज़रूरी सभी functions देते हैं
    • ऐसे web shell में अक्सर ऐसे backdoor भी लगे होते हैं जिनसे दूसरे hackers भी उन्हें hack कर सकें

  • सुरक्षा विशेषज्ञों की गलतफहमी

    • कई web shell password protection देते हैं, लेकिन मूल निर्माता कभी-कभी एक 'master key' भी देता है जिससे वह सभी hosts तक पहुंच सकता है
    • उदाहरण के लिए, c99shell में attacker द्वारा सेट किए गए password के अलावा निर्माता द्वारा सेट किए गए password से भी access मिल सकता है

  • नया शोध

    • समाप्त हो चुकी या छोड़ दी गई infrastructure का उपयोग करके इंटरनेट की कमजोरियों का अध्ययन करने का लक्ष्य था
    • अलग-अलग web shell इकट्ठा किए गए, protected code को decode किया गया, और callback function में इस्तेमाल हुए unregistered domain निकाले गए
    • AWS Route53 API का उपयोग करके बड़े पैमाने पर domain register किए गए और उन्हें logging server से जोड़कर requests को record किया गया

  • उत्तर कोरिया से कनेक्शन?

    • Lazarus Group और APT37 जैसे उत्तर कोरिया-संबंधित हमलों से मिलते-जुलते attack pattern मिले, लेकिन वास्तव में ऐसा लगा कि दूसरे attackers ने APT-स्तर के tools को दोबारा इस्तेमाल किया था
    • logging server पर हज़ारों requests भेजी गईं, जो इस बात का संकेत थीं कि web shell deploy और access किए गए थे

  • .GOV डोमेन

    • कई सरकारी संस्थानों के domain में backdoor पाए गए, और यह जानकारी 4 अलग-अलग web shell से जुटाई गई थी

  • निष्कर्ष

    • इंटरनेट के पुराने होते जाने और expired infrastructure के असर के कारण ऐसे मुद्दे आगे भी बने रहने की संभावना है
    • attackers भी defenders की तरह गलतियां करते हैं, और यह attack और defense के बीच संतुलन बनाने में योगदान देता है
    • watchTowr लगातार security testing और तेज़ threat response के ज़रिए ग्राहकों के संगठनों की सुरक्षा कर रहा है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-01-13
Hacker News राय

  • एक राय यह है कि CFAA के डर की वजह से वे इसे आज़मा नहीं पाएंगे, लेकिन यह काम बहुत शानदार है

    • यह मज़ेदार है कि सरकारी डोमेन पर चार परजीवी मौजूद हैं
    • यह जिज्ञासा है कि सिस्टम हैक करते समय क्या दूसरे हैकरों के backdoor हटाए नहीं जाते

  • AWS Route53 API से जोड़कर बड़ी मात्रा में डोमेन खरीदे गए

    • लागत $20 थी, और इससे ज़्यादा पैसे में इससे भी बुरे काम किए गए हैं

  • The Shadowserver Foundation के समर्थन के लिए आभार, जिसने इस शोध में शामिल डोमेनों का स्वामित्व अपने हाथ में लेकर sinkholing किया

  • डोमेन के संदर्भ में "खरीद" और "स्वामित्व" जैसे शब्दों की जगह "किराए पर लेना" या "लीज़" जैसे शब्द इस्तेमाल करने की इच्छा जताई गई

    • अगर डोमेन वास्तव में खरीदे जा सकते, तो इस प्रयोग में उनका दोबारा उपयोग नहीं हो पाता

  • इस लेख को पढ़ना आनंददायक लगा; इसे हल्के अंदाज़ में लिखा गया है और यह disclosure के प्रभाव को समझता है

    • सब कुछ साबित किया गया, लेकिन इसे ज़रूरत से ज़्यादा गंभीरता से नहीं लिया गया
    • गंभीर समस्या पर बात करते हुए भी यह पढ़ने में मज़ेदार था

  • यह जिज्ञासा है कि webshell के backdoor का इस्तेमाल करके webshell को हटा दिया जाए तो क्या होगा

  • थोड़ा विषय से हटकर, लेकिन इस लेख में "y" अक्षर का फ़ॉन्ट ध्यान खींचता है

  • तकनीकी रूप से यह दोहराव वाली पोस्ट है, और पिछले हफ्ते इसे दो बार सबमिट किया गया था