1 पॉइंट द्वारा GN⁺ 2025-01-13 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • watchTowr Labs ने expire हो चुके और छोड़े गए domains को फिर से register करके web shells के अंदर मौजूद backdoor callbacks को intercept किया, और 4,000 से ज्यादा unique live backdoors से report होने वाला traffic observe किया
  • अगर किसी web shell में अपनी deployment location या password को original creator के domain पर भेजने वाला hidden feature हो, तो domain expire होने के बाद नया owner callback logs पा सकता है
  • observation में Bangladesh, China, Nigeria के government systems और Thailand, China, South Korea आदि के universities व higher-education institutions शामिल थे, और logs 300MB से ज्यादा जमा हुए
  • researchers ने 40 से ज्यादा domains register करने के बाद AWS Route53, wildcard TLS certificate, और Apache logging server configure किया, requests record कीं और सिर्फ 404 response लौटाया
  • छोड़ा गया infrastructure न सिर्फ TLS/SSL CA validation में, बल्कि attackers द्वारा इस्तेमाल किए जाने वाले web shell ecosystem में भी वास्तविक access path बन सकता है; संबंधित domains को The Shadowserver Foundation acquire करके sinkhole करेगी

Expired infrastructure backdoor access path बन गया

  • watchTowr Labs ने 2024 की .MOBI research में दिखाया था कि unregistered domain, TLS/SSL CA की domain ownership verification process को प्रभावित कर सकता है, और बाद में Google ने CAB Forum से WHOIS-based ownership verification खत्म करने की petition की
  • यह research उसी problem group, यानी expired/abandoned infrastructure, को web shells और backdoor ecosystem पर apply करती है
  • researchers ने backdoor के अंदर मौजूद एक और backdoor जिस expired domain पर निर्भर था, उसे फिर से register करके infected hosts से आने वाला traffic observe किया
  • यह तरीका theoretically compromised hosts को seize/control करने की position बना सकता है, लेकिन researchers ने systems के लिए अतिरिक्त risk न बने, इसलिए hostnames को ज्यादातर obfuscate किया
  • अब तक 4,000 से ज्यादा unique live backdoors observe किए गए हैं, और संख्या लगातार बढ़ रही है

Web shell compromise के बाद छोड़ा गया remote-control साधन है

  • Web shell web server compromise के बाद deploy किया जाने वाला code है, जो attacker को follow-up actions करने देने वाले backdoor की तरह काम करता है
  • इसका simple form PHP में <?php system($_GET['exec']);?> जैसा command execute करने वाला code होता है
  • complex forms में c99shell, r57shell, China Chopper जैसे web shells हैं, जिनमें ये features हो सकते हैं
    • command execution
    • files delete/modify/upload/move/rename करना
    • code execution
    • self-deletion
    • connect-back, bindshell जैसे अतिरिक्त backdoors deploy करना
    • FTP brute force
    • SQL client
  • c99shell और r57shell को पहले widely used web shells के तौर पर पेश किया गया है

Web shell creators को location leak होती है

  • r57shell में rst.void.ru से 0-size image load करने वाला code था, और ऊपर से यह current shell version information भेजता हुआ दिखता था
  • असल में HTTP request के Referer header के जरिए newly deployed web shell की location rst.void.ru के owner के सामने expose हो जाती थी
  • attacker target को compromise करके web shell install करे, तब भी web shell creator उस location को receive कर सकता था
  • c99shell case में credentials hardcoded हैं, लेकिन @extract($_REQUEST["c99shcook"]) call current scope के variables overwrite कर सकती है
  • extract untrusted data के लिए safe नहीं है; attacker c99shcook request parameter में md5_pass और login values डालकर existing authentication variables बदल सकता है और authentication pass कर सकता है

40 से ज्यादा domains से सिर्फ callbacks log किए गए

  • researchers ने अलग-अलग languages, targets और ages के web shells collect किए, base64 आदि से obfuscated code decode किया, और callbacks में इस्तेमाल हुए प्रतीत होने वाले unregistered domains extract किए
  • इसके बाद AWS Route53 API से 40 से ज्यादा domains bulk में register किए
  • example domains में aljazeera7.com, alturks.com, caspian-pirates.org, h0ld-up.info, w2img.com, odayexp.com, nettekiadres.com आदि शामिल हैं
  • wildcard TLS certificate और Apache web server configure किया, और नए domains को logging server की ओर point किया
  • logging server ने सिर्फ incoming requests record कीं और 404 लौटाया; researchers ने केवल systems द्वारा voluntarily भेजी गई requests receive कीं, code execute करवाने के लिए कोई response नहीं दिया

Lazarus tool जैसा दिखने वाला web shell callback

  • w2img.com family domains से .gif images लाने वाली हजारों requests observe की गईं
  • researchers ने उन requests generate करने वाला backdoor sample पाया, और माना कि यह 2020 में Lazarus द्वारा इस्तेमाल किए गए बताए गए version जैसा है
  • obfuscation हटाने पर CSS के background:url(...) form में img2.w2img.com की .gif file load करने वाला code दिखता है
  • browser जब image request करता है, तो server logs में request के साथ Referer बच जाता है, जिससे web shell deploy की गई location पता चल सकती है
  • सिर्फ इस backdoor से 3,900 से ज्यादा unique compromised domains observe किए गए
  • recent browsers अब Referer में केवल domain expose करने लगे हैं, लेकिन पुराने browsers इस्तेमाल करने वाले attackers द्वारा full web shell URL भेजे जाने के cases हैं

Government domains और higher-education institutions भी शामिल

  • logs के Referer में .gov domains search करने पर कई government-related domains दिखाई दिए
  • confirmed examples ये हैं
    • fhc.gov.ng: Nigeria Federal High Court
    • gov.cn family domains
    • gov.bd family domains
    • court.gov.cn family domains
  • Nigeria Federal High Court case में 4 अलग-अलग backdoors ने information भेजी, और requests receive करने वाले domains भी अलग-अलग थे
  • researchers ने कुल लगभग 4,000 compromised systems में से .gov systems चार बताए
  • Thailand, China, South Korea आदि के universities और higher-education institutions भी compromised targets के रूप में observe किए गए

Plaintext में password भेजने वाला web shell

  • एक और type का backdoor image loading और Referer पर depend नहीं करता, बल्कि URL और specific information को parameters के रूप में सीधे भेजता है
  • odayexp.com की ओर गई requests में url parameter के साथ p parameter शामिल था
  • ASP web shell code में p value UserPass variable थी, और यह web shell login के लिए जरूरी password था
  • attacker ने web shell पर password लगाया था, लेकिन वही password plaintext में odayexp.com को भेजे जाने वाली structure थी
  • watchTowr के उस domain का owner बन जाने से web shell location और password researchers के logging server तक पहुंच गए
  • logs में localhost, private IP, test paths वाली requests भी बची थीं, जिससे संकेत मिलता है कि किसी ने उस feature को modify या test किया था

Interpretation की सीमाएं और follow-up handling

  • observed shells China targets की ओर tilted थे, लेकिन researchers ने माना कि यह sample data का reflection हो सकता है
  • source IP को proxy use आसान होने के कारण evidence बनाना मुश्किल है, लेकिन attacker traffic या unusual management style traffic जैसी दिखने वाली requests Hong Kong और China IP ranges की ओर strongly tilted थीं
  • open web shells, expired domains, और backdoored software का इस्तेमाल दिखाता है कि attackers भी defenders की तरह गलतियां करते हैं
  • पिछली .MOBI research की तरह, domains को फिर से expire होने दिया जाए तो वही problem repeat हो सकती है, इसलिए responsibility का सवाल बचता है
  • The Shadowserver Foundation इस research से संबंधित domains acquire करके उन्हें sinkhole करेगी

1 टिप्पणियां

 
GN⁺ 2025-01-13
Hacker News टिप्पणियाँ
  • CFAA के डर से मैं खुद यह आज़माने की हिम्मत नहीं करूँगा, लेकिन यह काम सचमुच शानदार है। खासकर यह बात मज़ेदार है कि एक सरकारी डोमेन पर 4 परजीवी बैकडोर चिपके हुए थे
    सोचता हूँ, जब script kiddies किसी सिस्टम पर कब्ज़ा करते हैं, तो क्या वे दूसरे script kiddie के बैकडोर हटाकर उसे अकेले अपने लिए नहीं रखते?
    डोमेन के लिए “खरीदना” या “मालिक होना” जैसे शब्द अब हम सबको बंद कर देने चाहिए। “लीज़” या “किराये पर लेना” ज़्यादा सही है, और अगर इसे सचमुच खरीदा जा सकता, तो यह इस बार की तरह फिर से उपलब्ध भी नहीं होता

    • इस संदर्भ में “खरीदना” का ठीक-ठीक मतलब क्या है, यह भी अस्पष्ट है। कोई देश भी अपने ccTLD का “मालिक” है, ऐसा कहना कठिन है, लेकिन ICANN ने इंटरनेट namespace में तनाव से बचने के लिए “ccTLD को ऐसे माना जाना चाहिए जैसे वह उस देश के स्वामित्व में हो” वाली नीति को काफ़ी मेहनत से व्यवस्थित किया है
      इसलिए gTLD के ज़्यादातर नियम ccTLD पर लागू नहीं होते। कोई देश केवल इस अर्थ में अपने ccTLD का “मालिक” माना जा सकता है कि अगर ICANN या root-servers.net servers उस TLD को सही तरह resolve न करने लगें, तो वह सैन्य शक्ति से अपने ccTLD के उपयोग की रक्षा कर सकता है
    • बहुत तिरछे ढंग से देखें तो भौतिक और डिजिटल संपत्ति सब कुछ लीज़ पर ही है
    • यह मानव स्वभाव और अंग्रेज़ी की “function” जैसी चीज़ है। लोग लीज़ पर ली गई कार या फोन नंबर को भी “मेरी कार”, “मेरा नंबर” कहते हैं, और लगभग बिना इक्विटी वाले mortgage के बावजूद “मेरा घर” कहते हैं
      गंदी वास्तविकता को या तो common sense मानकर पृष्ठभूमि में रख दिया जाता है, या शुरुआत से ही मुद्दे से असंबंधित समझा जाता है—यह एक तरह का conceptual shorthand है
  • लेख सचमुच अच्छा था। हल्के अंदाज़ में पढ़ा जाता है, फिर भी disclosure के असर को लेकर सचेत है; हर बात के पीछे आधार है, लेकिन खुद को ज़रूरत से ज़्यादा गंभीर बनाकर पेश नहीं करता
    पढ़ने में मज़ेदार होने के साथ-साथ गंभीर security issue को अच्छी तरह संभालता है

    • मुझे भी इस लेख और पिछले .mobi वाले लेख में यही अहसास हुआ। पर्याप्त संदर्भ है, समझाना अच्छा है, buzzwords के बिना हल्का और cool है, पर जबरदस्ती cool दिखने की कोशिश नहीं करता
      सामग्री ठोस है और फालतू बातें नहीं हैं; कई blog posts या security analyses की तुलना में यह ताज़ा लगता है, जहाँ ऐसी चीज़ें अक्सर छूट जाती हैं
    • WordArt का आना भी अच्छा लगा, लेकिन rainbow effect न होना अफ़सोसजनक था
  • सोच रहा हूँ कि अगर इस webshell backdoor को उल्टा इस्तेमाल करके webshell हटा दिया जाए तो क्या होगा

    • अगर आप FBI हैं और court order भी है, तो ऐसा कर सकते हैं [1]। अगर कोई Russian greyhat hacker है, तो शायद कर सके [2]। अगर आप अमेरिका के आम निजी व्यक्ति हैं, तो संभवतः आपको CFAA risk काफ़ी बड़ा उठाना पड़ेगा
      जैसा कि इस लेख के authors ने भी कहा, वे सावधानी से सिर्फ़ traffic receive और log करने तक सीमित रहे, और उन्होंने दिलचस्प responses भेजने या webshells से interact करने की कोशिश नहीं की
      [1] https://www.malwarebytes.com/blog/news/2024/02/fbi-removes-m...
      [2] https://www.zdnet.com/article/a-mysterious-grey-hat-is-patch...
  • पता नहीं मैंने इस हिस्से को सही समझा या नहीं। इसमें बताया गया है कि CSS किसी खास URL से background image लाने को कहता है, जिससे browser w2img.com की .gif file request करता है; और यह भी कि आधुनिक browsers referrer में केवल domain expose करते हैं, लेकिन पुराने browser का इस्तेमाल करने वाले attacker ने पूरा shell URL भेज दिया
    लेकिन “attacker पुराने browser का इस्तेमाल करता है” वाली बात अजीब लगती है। असल में attacker ने तो CSS serve करने वाले server पर कब्ज़ा किया था, और browser तो उस compromised server पर जाने वाले निर्दोष user का नहीं होगा? तो browser इस्तेमाल करने वाला victim हुआ, attacker नहीं
    समझ नहीं आ रहा कि किस स्थिति में attacker browser इस्तेमाल कर रहा है

    • webshell वह page होता है, आमतौर पर .php file, जिसे attacker RCE जैसी compromise के बाद site पर upload करता है; फिर attacker अपने browser से उस page को खोलकर compromised webserver पर आगे का काम करता है
      लेकिन इस तरह की ready-made webshell files किसी दूसरे attacker ने बनाई होती हैं, और वे पहले से backdoor के साथ distributed होती हैं। इस मामले में webshell के अंदर का CSS attacker के browser से webshell की location उस domain तक leak करवाता है जिसे original creator control करता है
  • थोड़ा अलग मुद्दा है, लेकिन समझ नहीं आता इस लेख में y अक्षर का font ऐसा क्यों दिख रहा है। बहुत अलग दिखता है और आँखों को चुभता है

    • ऐसी चीज़ें मुझे काफ़ी बार परेशान करती हैं, इसलिए मैंने downloadable_fonts बंद कर रखा है। मैं web को पढ़ने की जगह मानता हूँ, इसलिए readability को नुकसान पहुँचाने वाले custom fonts पसंद नहीं आते
      समझता हूँ कि designer एक अलग style चाहता है, लेकिन end user के तौर पर शायद ही कभी ऐसी चीज़ चाहिए होती है
    • font design खुद ही ऐसा है: https://abcdinamo.com/typefaces/favorit
    • लगता है कुछ fonts जानबूझकर ऐसे elements डालते हैं ताकि उनकी अलग पहचान बने। font market बहुत saturated है, इसलिए मिलते-जुलते clones के बीच अलग दिखने में यह मदद कर सकता है
      उभरा हुआ हिस्सा शायद थोड़ा irritating बनाने के इरादे से हो सकता है, लेकिन किसी controversial बयान की तरह उसमें फिर भी कुछ हद तक बात तो बननी चाहिए। यह कुछ online personalities की उस strategy जैसा लगता है जिसमें वे किसी खास शब्द का उच्चारण जानबूझकर बार-बार गलत करते हैं या accent बढ़ा-चढ़ाकर बोलते हैं
      fonts पर लौटें तो, मुझे याद है कि Genius lyrics site ने भी कुछ समय तक मिलता-जुलता तरीका अपनाया था। अपने जमने के दौर में उसने Programme font के square letterforms इस्तेमाल किए थे, जो नीचे दिए लिंक में दिखते हैं। अभी भी Programme इस्तेमाल होता है, लेकिन लगता है कि कुछ समय से वे normal forms इस्तेमाल कर रहे हैं, शायद इसलिए कि वे सच में खटकते थे और readability खराब करते थे
      https://www.typewolf.com/programme
  • लेख में कुछ typos हैं। “with the hopes of painting a paint a clear picture” में a paint अनावश्यक है, और “we the following stood out” में we अनावश्यक है
    साथ ही “Atleast there will be memes...” में “Atleast” भी typo है

  • h0no का ज़िक्र देखकर पुरानी यादें अचानक ताज़ा हो गईं। darpanet/m00/#darknet/dikline वाले दिनों में लौटने जैसा लगा

  • उत्सुक हूँ कि लगभग सभी domains छिपाए गए, लेकिन Federal High Court of Nigeria domain क्यों छोड़ दिया गया
    स्पष्ट रूप से लिखा नहीं है, लेकिन उम्मीद है कि responsible disclosure process अपनाया गया होगा

  • 99% मामला expired domains हासिल करने पर आधारित लगता है, लेकिन क्या उन्होंने यह बिल्कुल नहीं बताया कि यह कैसे किया?

    • पता नहीं आपने लेख सच में पढ़ा या नहीं। यह पर्याप्त detail में समझाया गया है। उन्होंने DNS records को “hijack” नहीं किया, बल्कि वे domains खरीदे जो expire होकर उपलब्ध हो गए थे
      एकमात्र हिस्सा जो उन्होंने नहीं समझाया, वह यह है कि उन्होंने online shells कैसे खोजे; उसके स्पष्ट कारण हैं, और authors के शब्दों में वे चीज़ें “truck के पीछे से गिरी हुई” थीं