बैकडोर में लगाए गए बैकडोर में सेंध — एक और $20 डोमेन, और ज्यादा सरकारें
(labs.watchtowr.com)- watchTowr Labs ने expire हो चुके और छोड़े गए domains को फिर से register करके web shells के अंदर मौजूद backdoor callbacks को intercept किया, और 4,000 से ज्यादा unique live backdoors से report होने वाला traffic observe किया
- अगर किसी web shell में अपनी deployment location या password को original creator के domain पर भेजने वाला hidden feature हो, तो domain expire होने के बाद नया owner callback logs पा सकता है
- observation में Bangladesh, China, Nigeria के government systems और Thailand, China, South Korea आदि के universities व higher-education institutions शामिल थे, और logs 300MB से ज्यादा जमा हुए
- researchers ने 40 से ज्यादा domains register करने के बाद AWS Route53, wildcard TLS certificate, और Apache logging server configure किया, requests record कीं और सिर्फ 404 response लौटाया
- छोड़ा गया infrastructure न सिर्फ TLS/SSL CA validation में, बल्कि attackers द्वारा इस्तेमाल किए जाने वाले web shell ecosystem में भी वास्तविक access path बन सकता है; संबंधित domains को The Shadowserver Foundation acquire करके sinkhole करेगी
Expired infrastructure backdoor access path बन गया
- watchTowr Labs ने 2024 की .MOBI research में दिखाया था कि unregistered domain, TLS/SSL CA की domain ownership verification process को प्रभावित कर सकता है, और बाद में Google ने CAB Forum से WHOIS-based ownership verification खत्म करने की petition की
- यह research उसी problem group, यानी expired/abandoned infrastructure, को web shells और backdoor ecosystem पर apply करती है
- researchers ने backdoor के अंदर मौजूद एक और backdoor जिस expired domain पर निर्भर था, उसे फिर से register करके infected hosts से आने वाला traffic observe किया
- यह तरीका theoretically compromised hosts को seize/control करने की position बना सकता है, लेकिन researchers ने systems के लिए अतिरिक्त risk न बने, इसलिए hostnames को ज्यादातर obfuscate किया
- अब तक 4,000 से ज्यादा unique live backdoors observe किए गए हैं, और संख्या लगातार बढ़ रही है
Web shell compromise के बाद छोड़ा गया remote-control साधन है
- Web shell web server compromise के बाद deploy किया जाने वाला code है, जो attacker को follow-up actions करने देने वाले backdoor की तरह काम करता है
- इसका simple form PHP में
<?php system($_GET['exec']);?>जैसा command execute करने वाला code होता है - complex forms में
c99shell,r57shell,China Chopperजैसे web shells हैं, जिनमें ये features हो सकते हैं- command execution
- files delete/modify/upload/move/rename करना
- code execution
- self-deletion
- connect-back, bindshell जैसे अतिरिक्त backdoors deploy करना
- FTP brute force
- SQL client
c99shellऔरr57shellको पहले widely used web shells के तौर पर पेश किया गया है
Web shell creators को location leak होती है
r57shellमेंrst.void.ruसे 0-size image load करने वाला code था, और ऊपर से यह current shell version information भेजता हुआ दिखता था- असल में HTTP request के Referer header के जरिए newly deployed web shell की location
rst.void.ruके owner के सामने expose हो जाती थी - attacker target को compromise करके web shell install करे, तब भी web shell creator उस location को receive कर सकता था
c99shellcase में credentials hardcoded हैं, लेकिन@extract($_REQUEST["c99shcook"])call current scope के variables overwrite कर सकती हैextractuntrusted data के लिए safe नहीं है; attackerc99shcookrequest parameter मेंmd5_passऔरloginvalues डालकर existing authentication variables बदल सकता है और authentication pass कर सकता है
40 से ज्यादा domains से सिर्फ callbacks log किए गए
- researchers ने अलग-अलग languages, targets और ages के web shells collect किए, base64 आदि से obfuscated code decode किया, और callbacks में इस्तेमाल हुए प्रतीत होने वाले unregistered domains extract किए
- इसके बाद AWS Route53 API से 40 से ज्यादा domains bulk में register किए
- example domains में
aljazeera7.com,alturks.com,caspian-pirates.org,h0ld-up.info,w2img.com,odayexp.com,nettekiadres.comआदि शामिल हैं - wildcard TLS certificate और Apache web server configure किया, और नए domains को logging server की ओर point किया
- logging server ने सिर्फ incoming requests record कीं और 404 लौटाया; researchers ने केवल systems द्वारा voluntarily भेजी गई requests receive कीं, code execute करवाने के लिए कोई response नहीं दिया
Lazarus tool जैसा दिखने वाला web shell callback
w2img.comfamily domains से.gifimages लाने वाली हजारों requests observe की गईं- researchers ने उन requests generate करने वाला backdoor sample पाया, और माना कि यह 2020 में Lazarus द्वारा इस्तेमाल किए गए बताए गए version जैसा है
- obfuscation हटाने पर CSS के
background:url(...)form मेंimg2.w2img.comकी.giffile load करने वाला code दिखता है - browser जब image request करता है, तो server logs में request के साथ Referer बच जाता है, जिससे web shell deploy की गई location पता चल सकती है
- सिर्फ इस backdoor से 3,900 से ज्यादा unique compromised domains observe किए गए
- recent browsers अब Referer में केवल domain expose करने लगे हैं, लेकिन पुराने browsers इस्तेमाल करने वाले attackers द्वारा full web shell URL भेजे जाने के cases हैं
Government domains और higher-education institutions भी शामिल
- logs के Referer में
.govdomains search करने पर कई government-related domains दिखाई दिए - confirmed examples ये हैं
fhc.gov.ng: Nigeria Federal High Courtgov.cnfamily domainsgov.bdfamily domainscourt.gov.cnfamily domains
- Nigeria Federal High Court case में 4 अलग-अलग backdoors ने information भेजी, और requests receive करने वाले domains भी अलग-अलग थे
- researchers ने कुल लगभग 4,000 compromised systems में से
.govsystems चार बताए - Thailand, China, South Korea आदि के universities और higher-education institutions भी compromised targets के रूप में observe किए गए
Plaintext में password भेजने वाला web shell
- एक और type का backdoor image loading और Referer पर depend नहीं करता, बल्कि URL और specific information को parameters के रूप में सीधे भेजता है
odayexp.comकी ओर गई requests मेंurlparameter के साथpparameter शामिल था- ASP web shell code में
pvalueUserPassvariable थी, और यह web shell login के लिए जरूरी password था - attacker ने web shell पर password लगाया था, लेकिन वही password plaintext में
odayexp.comको भेजे जाने वाली structure थी - watchTowr के उस domain का owner बन जाने से web shell location और password researchers के logging server तक पहुंच गए
- logs में
localhost, private IP, test paths वाली requests भी बची थीं, जिससे संकेत मिलता है कि किसी ने उस feature को modify या test किया था
Interpretation की सीमाएं और follow-up handling
- observed shells China targets की ओर tilted थे, लेकिन researchers ने माना कि यह sample data का reflection हो सकता है
- source IP को proxy use आसान होने के कारण evidence बनाना मुश्किल है, लेकिन attacker traffic या unusual management style traffic जैसी दिखने वाली requests Hong Kong और China IP ranges की ओर strongly tilted थीं
- open web shells, expired domains, और backdoored software का इस्तेमाल दिखाता है कि attackers भी defenders की तरह गलतियां करते हैं
- पिछली .MOBI research की तरह, domains को फिर से expire होने दिया जाए तो वही problem repeat हो सकती है, इसलिए responsibility का सवाल बचता है
- The Shadowserver Foundation इस research से संबंधित domains acquire करके उन्हें sinkhole करेगी
1 टिप्पणियां
Hacker News टिप्पणियाँ
CFAA के डर से मैं खुद यह आज़माने की हिम्मत नहीं करूँगा, लेकिन यह काम सचमुच शानदार है। खासकर यह बात मज़ेदार है कि एक सरकारी डोमेन पर 4 परजीवी बैकडोर चिपके हुए थे
सोचता हूँ, जब script kiddies किसी सिस्टम पर कब्ज़ा करते हैं, तो क्या वे दूसरे script kiddie के बैकडोर हटाकर उसे अकेले अपने लिए नहीं रखते?
डोमेन के लिए “खरीदना” या “मालिक होना” जैसे शब्द अब हम सबको बंद कर देने चाहिए। “लीज़” या “किराये पर लेना” ज़्यादा सही है, और अगर इसे सचमुच खरीदा जा सकता, तो यह इस बार की तरह फिर से उपलब्ध भी नहीं होता
इसलिए gTLD के ज़्यादातर नियम ccTLD पर लागू नहीं होते। कोई देश केवल इस अर्थ में अपने ccTLD का “मालिक” माना जा सकता है कि अगर ICANN या root-servers.net servers उस TLD को सही तरह resolve न करने लगें, तो वह सैन्य शक्ति से अपने ccTLD के उपयोग की रक्षा कर सकता है
गंदी वास्तविकता को या तो common sense मानकर पृष्ठभूमि में रख दिया जाता है, या शुरुआत से ही मुद्दे से असंबंधित समझा जाता है—यह एक तरह का conceptual shorthand है
लेख सचमुच अच्छा था। हल्के अंदाज़ में पढ़ा जाता है, फिर भी disclosure के असर को लेकर सचेत है; हर बात के पीछे आधार है, लेकिन खुद को ज़रूरत से ज़्यादा गंभीर बनाकर पेश नहीं करता
पढ़ने में मज़ेदार होने के साथ-साथ गंभीर security issue को अच्छी तरह संभालता है
सामग्री ठोस है और फालतू बातें नहीं हैं; कई blog posts या security analyses की तुलना में यह ताज़ा लगता है, जहाँ ऐसी चीज़ें अक्सर छूट जाती हैं
सोच रहा हूँ कि अगर इस webshell backdoor को उल्टा इस्तेमाल करके webshell हटा दिया जाए तो क्या होगा
जैसा कि इस लेख के authors ने भी कहा, वे सावधानी से सिर्फ़ traffic receive और log करने तक सीमित रहे, और उन्होंने दिलचस्प responses भेजने या webshells से interact करने की कोशिश नहीं की
[1] https://www.malwarebytes.com/blog/news/2024/02/fbi-removes-m...
[2] https://www.zdnet.com/article/a-mysterious-grey-hat-is-patch...
पता नहीं मैंने इस हिस्से को सही समझा या नहीं। इसमें बताया गया है कि CSS किसी खास URL से background image लाने को कहता है, जिससे browser w2img.com की .gif file request करता है; और यह भी कि आधुनिक browsers referrer में केवल domain expose करते हैं, लेकिन पुराने browser का इस्तेमाल करने वाले attacker ने पूरा shell URL भेज दिया
लेकिन “attacker पुराने browser का इस्तेमाल करता है” वाली बात अजीब लगती है। असल में attacker ने तो CSS serve करने वाले server पर कब्ज़ा किया था, और browser तो उस compromised server पर जाने वाले निर्दोष user का नहीं होगा? तो browser इस्तेमाल करने वाला victim हुआ, attacker नहीं
समझ नहीं आ रहा कि किस स्थिति में attacker browser इस्तेमाल कर रहा है
लेकिन इस तरह की ready-made webshell files किसी दूसरे attacker ने बनाई होती हैं, और वे पहले से backdoor के साथ distributed होती हैं। इस मामले में webshell के अंदर का CSS attacker के browser से webshell की location उस domain तक leak करवाता है जिसे original creator control करता है
थोड़ा अलग मुद्दा है, लेकिन समझ नहीं आता इस लेख में y अक्षर का font ऐसा क्यों दिख रहा है। बहुत अलग दिखता है और आँखों को चुभता है
समझता हूँ कि designer एक अलग style चाहता है, लेकिन end user के तौर पर शायद ही कभी ऐसी चीज़ चाहिए होती है
उभरा हुआ हिस्सा शायद थोड़ा irritating बनाने के इरादे से हो सकता है, लेकिन किसी controversial बयान की तरह उसमें फिर भी कुछ हद तक बात तो बननी चाहिए। यह कुछ online personalities की उस strategy जैसा लगता है जिसमें वे किसी खास शब्द का उच्चारण जानबूझकर बार-बार गलत करते हैं या accent बढ़ा-चढ़ाकर बोलते हैं
fonts पर लौटें तो, मुझे याद है कि Genius lyrics site ने भी कुछ समय तक मिलता-जुलता तरीका अपनाया था। अपने जमने के दौर में उसने Programme font के square letterforms इस्तेमाल किए थे, जो नीचे दिए लिंक में दिखते हैं। अभी भी Programme इस्तेमाल होता है, लेकिन लगता है कि कुछ समय से वे normal forms इस्तेमाल कर रहे हैं, शायद इसलिए कि वे सच में खटकते थे और readability खराब करते थे
https://www.typewolf.com/programme
लेख में कुछ typos हैं। “with the hopes of painting a paint a clear picture” में a paint अनावश्यक है, और “we the following stood out” में we अनावश्यक है
साथ ही “Atleast there will be memes...” में “Atleast” भी typo है
h0no का ज़िक्र देखकर पुरानी यादें अचानक ताज़ा हो गईं। darpanet/m00/#darknet/dikline वाले दिनों में लौटने जैसा लगा
उत्सुक हूँ कि लगभग सभी domains छिपाए गए, लेकिन Federal High Court of Nigeria domain क्यों छोड़ दिया गया
स्पष्ट रूप से लिखा नहीं है, लेकिन उम्मीद है कि responsible disclosure process अपनाया गया होगा
99% मामला expired domains हासिल करने पर आधारित लगता है, लेकिन क्या उन्होंने यह बिल्कुल नहीं बताया कि यह कैसे किया?
एकमात्र हिस्सा जो उन्होंने नहीं समझाया, वह यह है कि उन्होंने online shells कैसे खोजे; उसके स्पष्ट कारण हैं, और authors के शब्दों में वे चीज़ें “truck के पीछे से गिरी हुई” थीं