Intrusion via des backdoors de backdoor – un autre domaine à 20 $, davantage de gouvernements

 (labs.watchtowr.com)
1 points par GN⁺ 2025-01-13 | 1 commentaires | Partager sur WhatsApp

  • Backdooring des backdoors - un autre domaine à 20 $, davantage de gouvernements

    • En 2024, une recherche a provoqué un large impact sur l’ensemble d’Internet en montrant qu’il était possible de contourner la vérification de propriété des domaines .MOBI afin d’émettre des certificats TLS/SSL valides
    • Cette fois, l’étude s’est penchée sur la manière d’accéder à des milliers de systèmes en exploitant des infrastructures expirées ou abandonnées
    • La méthode consistait à détourner les backdoors laissées par d’autres hackers pour obtenir le même niveau d’accès aux systèmes, avec un effort minimal et le même résultat

  • Web shells

    • Un web shell est du code qui installe une backdoor sur un serveur web afin de permettre des attaques supplémentaires
    • Il existe différentes formes de web shells, comme c99shell, r57shell et China Chopper, qui fournissent à l’attaquant toutes les fonctions nécessaires
    • Ces web shells comportent souvent eux-mêmes une backdoor permettant à d’autres hackers de compromettre le système

  • L’illusion des experts en sécurité

    • De nombreux web shells proposent une protection par mot de passe, mais leur auteur fournit parfois aussi une « master key » permettant d’accéder à tous les hôtes
    • Par exemple, c99shell peut être accessible non seulement avec le mot de passe défini par l’attaquant, mais aussi avec celui défini par son créateur

  • Nouvelle recherche

    • L’objectif était d’étudier la vulnérabilité d’Internet en exploitant des infrastructures expirées ou abandonnées
    • Différents web shells ont été collectés, le code protégé a été déchiffré, puis les domaines non enregistrés utilisés dans les fonctions de callback ont été extraits
    • L’API AWS Route53 a été utilisée pour enregistrer en masse des domaines et les relier à un serveur de journalisation afin d’enregistrer les requêtes

  • Un lien avec la Corée du Nord ?

    • Des schémas d’attaque similaires à ceux de la Lazarus Group et d’APT37, connus pour être liés à la Corée du Nord, ont été observés, mais il semble en réalité que d’autres attaquants aient réutilisé des outils de niveau APT
    • Des milliers de requêtes ont été envoyées au serveur de journalisation, ce qui indiquait que les web shells avaient été déployés et consultés

  • Domaines .GOV

    • Des backdoors ont été découvertes sur les domaines de plusieurs organismes gouvernementaux, à partir d’informations collectées via quatre web shells différents

  • Conclusion

    • En raison du vieillissement d’Internet et de l’impact des infrastructures expirées, ce type de problème devrait perdurer
    • Les attaquants, tout comme les défenseurs, commettent eux aussi des erreurs, ce qui contribue à rééquilibrer le rapport entre attaque et défense
    • watchTowr protège les organisations de ses clients grâce à des tests de sécurité continus et à une réponse rapide aux menaces

À lire aussi

1 commentaires

 
GN⁺ 2025-01-13
Avis Hacker News

  • Certains estiment qu’ils n’oseraient probablement pas essayer à cause de la crainte du CFAA, mais que cette opération est très impressionnante

    • C’est amusant qu’il y ait quatre parasites sur un domaine gouvernemental
    • Ils se demandent si, en piratant un système, on ne supprime pas aussi les backdoors d’autres hackers

  • Connexion à l’API AWS Route53 pour acheter des domaines en masse

    • Le coût est de 20 $, et certains ont déjà fait pire avec plus d’argent

  • Remerciements au soutien de The Shadowserver Foundation, qui a repris la propriété des domaines impliqués dans cette recherche afin de procéder au sinkholing

  • Concernant les domaines, certains souhaitent qu’on utilise les termes « louer » ou « prendre en location » plutôt que « acheter » et « posséder »

    • Si les domaines avaient réellement pu être achetés, ils n’auraient pas pu être réutilisés pour cette expérience

  • Certains ont pris plaisir à lire cet article, rédigé sur un ton léger tout en étant conscient des implications de la divulgation

    • Tout est démontré, mais sans se prendre trop au sérieux
    • C’était une lecture agréable tout en traitant d’un problème sérieux

  • Certains se demandent ce qui se passerait si l’on utilisait la backdoor du webshell pour supprimer le webshell

  • Un peu hors sujet, mais la police de caractère du « y » dans cet article a attiré l’attention

  • Techniquement, il s’agit d’un doublon, déjà soumis deux fois la semaine dernière