การเจาะแบ็กดอร์ผ่านแบ็กดอร์ – อีกหนึ่งโดเมนราคา $20 และรัฐบาลอีกมากมาย

 (labs.watchtowr.com)
1 คะแนน โดย GN⁺ 2025-01-13 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

  • เจาะแบ็กดอร์ผ่านแบ็กดอร์ - อีกหนึ่งโดเมนราคา $20 และรัฐบาลอีกมากขึ้น

    • ในปี 2024 มีงานวิจัยที่ก่อให้เกิดการเปลี่ยนแปลงครั้งใหญ่ต่ออินเทอร์เน็ตโดยรวม โดยสามารถข้ามการยืนยันความเป็นเจ้าของโดเมน .MOBI เพื่อออกใบรับรอง TLS/SSL ที่ถูกต้องได้
    • ครั้งนี้ได้ศึกษาวิธีเข้าถึงระบบหลายพันระบบโดยอาศัยโครงสร้างพื้นฐานที่หมดอายุหรือถูกทิ้งร้าง
    • วิธีนี้คือการยึดแบ็กดอร์ที่แฮ็กเกอร์รายอื่นทิ้งไว้ เพื่อให้ได้สิทธิ์เข้าถึงระบบเดียวกันโดยใช้ความพยายามน้อยที่สุดแต่ได้ผลลัพธ์แบบเดียวกัน

  • เว็บเชลล์

    • เว็บเชลล์คือโค้ดที่ติดตั้งแบ็กดอร์บนเว็บเซิร์ฟเวอร์เพื่อให้สามารถดำเนินการโจมตีเพิ่มเติมได้
    • มีเว็บเชลล์หลายรูปแบบ เช่น c99shell, r57shell และ China Chopper ซึ่งมอบฟังก์ชันทุกอย่างที่ผู้โจมตีต้องการ
    • เว็บเชลล์เหล่านี้มักถูกติดตั้งแบ็กดอร์ไว้เพื่อให้แฮ็กเกอร์คนอื่นสามารถเจาะได้เช่นกัน

  • ความเข้าใจผิดของผู้เชี่ยวชาญด้านความปลอดภัย

    • เว็บเชลล์จำนวนมากมีฟังก์ชันป้องกันด้วยรหัสผ่าน แต่ผู้สร้างดั้งเดิมก็มักใส่ 'master key' ที่ทำให้เข้าถึงโฮสต์ทั้งหมดได้ด้วย
    • ตัวอย่างเช่น c99shell สามารถเข้าถึงได้ไม่เพียงด้วยรหัสผ่านที่ผู้โจมตีตั้งไว้ แต่ยังรวมถึงรหัสผ่านที่ผู้สร้างตั้งไว้ด้วย

  • งานวิจัยใหม่

    • ตั้งใจศึกษาความเปราะบางของอินเทอร์เน็ตโดยอาศัยโครงสร้างพื้นฐานที่หมดอายุหรือถูกทิ้งร้าง
    • ได้รวบรวมเว็บเชลล์หลายชนิด ถอดรหัสโค้ดที่ถูกป้องกันไว้ และดึงโดเมนที่ยังไม่ได้จดทะเบียนซึ่งถูกใช้ใน callback function ออกมา
    • ใช้ AWS Route53 API เพื่อจดทะเบียนโดเมนจำนวนมาก และเชื่อมต่อกับเซิร์ฟเวอร์บันทึกล็อกเพื่อเก็บบันทึกคำขอ

  • เชื่อมโยงกับเกาหลีเหนือ?

    • พบรูปแบบการโจมตีที่คล้ายกับเกาหลีเหนือซึ่งรู้จักกันในชื่อ Lazarus Group และ APT37 แต่ในความเป็นจริงดูเหมือนว่าเป็นผู้โจมตีรายอื่นที่นำเครื่องมือระดับ APT มาใช้ซ้ำ
    • มีคำขอหลายพันรายการถูกส่งไปยังเซิร์ฟเวอร์บันทึกล็อก ซึ่งทำหน้าที่แจ้งว่าเว็บเชลล์ถูกนำไปใช้งานและมีการเข้าถึงแล้ว

  • โดเมน .GOV

    • พบแบ็กดอร์ในโดเมนของหน่วยงานรัฐบาลหลายแห่ง และนี่คือข้อมูลที่รวบรวมผ่านเว็บเชลล์ 4 แบบที่แตกต่างกัน

  • สรุป

    • จากความเสื่อมสภาพของอินเทอร์เน็ตและผลกระทบของโครงสร้างพื้นฐานที่หมดอายุ คาดว่าปัญหาเหล่านี้จะยังคงเกิดขึ้นต่อไป
    • ผู้โจมตีก็ทำผิดพลาดได้เช่นเดียวกับผู้ป้องกัน และสิ่งนี้มีส่วนช่วยสร้างสมดุลระหว่างการโจมตีและการป้องกัน
    • watchTowr กำลังปกป้ององค์กรของลูกค้าผ่านการทดสอบความปลอดภัยอย่างต่อเนื่องและการตอบสนองต่อภัยคุกคามอย่างรวดเร็ว

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-01-13
ความคิดเห็นบน Hacker News

  • มีความเห็นว่างานนี้เจ๋งมาก แต่คงไม่กล้าลองเพราะกลัว CFAA

    • ตลกดีที่มีปรสิตอยู่สี่ตัวในโดเมนของรัฐบาล
    • สงสัยว่าเวลาที่แฮกระบบจะลบแบ็กดอร์ของแฮ็กเกอร์คนอื่นออกไปด้วยหรือไม่

  • เชื่อมต่อกับ AWS Route53 API แล้วซื้อโดเมนจำนวนมาก

    • ค่าใช้จ่ายคือ $20 และก็เคยทำเรื่องที่แย่กว่านี้โดยใช้เงินมากกว่านี้มาแล้ว

  • ขอบคุณ The Shadowserver Foundation สำหรับการสนับสนุน โดยรับโอนความเป็นเจ้าของโดเมนที่เกี่ยวข้องกับงานวิจัยนี้ไปเพื่อทำ sinkholing

  • สำหรับโดเมน อยากให้ใช้คำว่า "เช่า" หรือ "เช่าใช้" แทนคำว่า "ซื้อ" และ "เป็นเจ้าของ"

    • ถ้าโดเมนสามารถซื้อขาดได้จริง ก็คงไม่สามารถนำกลับมาใช้ซ้ำในการทดลองครั้งนี้ได้

  • อ่านบทความนี้ได้อย่างเพลิดเพลิน เขียนด้วยโทนเบาสบาย และตระหนักถึงผลกระทบของการเปิดเผยข้อมูล

    • ทุกอย่างได้รับการพิสูจน์แล้ว แต่ไม่ได้จริงจังจนเกินไป
    • เป็นงานอ่านที่สนุก แม้จะพูดถึงปัญหาที่ร้ายแรง

  • สงสัยว่าถ้าใช้แบ็กดอร์ของเว็บเชลล์เพื่อลบเว็บเชลล์นั้นออกจะเกิดอะไรขึ้น

  • นอกเรื่องไปหน่อย แต่ฟอนต์ตัวอักษร "y" ในบทความนี้สะดุดตามาก

  • ในเชิงเทคนิคถือว่าเป็นเนื้อหาซ้ำ และเคยถูกส่งมาแล้วสองครั้งเมื่อสัปดาห์ก่อน