แบ็กดอร์ที่ฝังอยู่ในแบ็กดอร์ — อีกหนึ่งโดเมนราคา 20 ดอลลาร์ และรัฐบาลที่มากขึ้น
(labs.watchtowr.com)- watchTowr Labs จดทะเบียนโดเมนที่หมดอายุหรือถูกปล่อยทิ้งใหม่อีกครั้ง เพื่อดักจับ แบ็กดอร์ callback ภายในเว็บเชลล์ และสังเกตทราฟฟิกที่รายงานเข้ามาจากแบ็กดอร์ที่ยังทำงานอยู่แบบไม่ซ้ำกันมากกว่า 4,000 รายการ
- หากเว็บเชลล์มีฟังก์ชันแอบแฝงที่ส่งตำแหน่งที่ถูกติดตั้งหรือรหัสผ่านกลับไปยังโดเมนของผู้สร้างเดิม เมื่อโดเมนหมดอายุ เจ้าของใหม่ก็อาจได้รับ บันทึก callback เหล่านั้นได้
- ระบบที่ถูกสังเกตรวมถึงระบบภาครัฐใน Bangladesh, China และ Nigeria รวมถึงมหาวิทยาลัยและสถาบันอุดมศึกษาใน Thailand, China, South Korea และที่อื่น ๆ โดยมีการสะสมล็อกมากกว่า 300MB
- หลังจากจดทะเบียนโดเมนมากกว่า 40 โดเมน นักวิจัยได้ตั้งค่า AWS Route53, ใบรับรอง TLS แบบไวลด์การ์ด และเซิร์ฟเวอร์ Apache สำหรับบันทึกล็อก จากนั้นบันทึกคำขอทั้งหมดและตอบกลับเพียง 404
- โครงสร้างพื้นฐานที่ถูกปล่อยทิ้งไม่เพียงเป็นเส้นทางเข้าถึงจริงในกระบวนการตรวจสอบของ TLS/SSL CA เท่านั้น แต่ยังเป็นช่องทางเข้าถึงจริงในระบบนิเวศของเว็บเชลล์ที่ผู้โจมตีใช้ด้วย โดยโดเมนที่เกี่ยวข้องจะถูก The Shadowserver Foundation รับช่วงต่อเพื่อนำไปทำ sinkhole
โครงสร้างพื้นฐานที่หมดอายุกลายเป็นเส้นทางเข้าถึงแบ็กดอร์
- watchTowr Labs เคยแสดงให้เห็นในการวิจัย .MOBI ปี 2024 ว่าโดเมนที่ยังไม่มีผู้จดทะเบียนสามารถส่งผลต่อกระบวนการตรวจสอบความเป็นเจ้าของโดเมนของ TLS/SSL CA ได้ และหลังจากนั้น Google ได้ยื่นคำร้องต่อ CAB Forum ให้ยกเลิกการตรวจสอบความเป็นเจ้าของแบบอิง WHOIS
- งานวิจัยครั้งนี้นำปัญหากลุ่มเดียวกันคือ โครงสร้างพื้นฐานที่หมดอายุและถูกปล่อยทิ้ง ไปใช้กับระบบนิเวศของเว็บเชลล์และแบ็กดอร์
- นักวิจัยจดทะเบียนโดเมนที่หมดอายุซึ่งแบ็กดอร์อีกชั้นหนึ่งภายในแบ็กดอร์พึ่งพาอยู่ใหม่ เพื่อสังเกตทราฟฟิกที่โฮสต์ที่ติดเชื้อส่งออกมา
- วิธีนี้ในทางทฤษฎีอาจสร้างจุดยืนที่สามารถยึดครองและควบคุมโฮสต์ที่ถูก compromise ได้ แต่นักวิจัยได้ทำให้ชื่อโฮสต์ส่วนใหญ่คลุมเครือเพื่อไม่ให้เพิ่มความเสี่ยงต่อระบบ
- จนถึงตอนนี้มีการสังเกตพบแบ็กดอร์ที่ยังทำงานอยู่แบบไม่ซ้ำกันมากกว่า 4,000 รายการ และตัวเลขยังเพิ่มขึ้นต่อเนื่อง
เว็บเชลล์คือเครื่องมือควบคุมจากระยะไกลที่ทิ้งไว้หลังการเจาะระบบ
- เว็บเชลล์ คือโค้ดที่ถูกนำไปวางไว้หลังเว็บเซิร์ฟเวอร์ถูกเจาะ เพื่อทำหน้าที่เป็นแบ็กดอร์ให้ผู้โจมตีดำเนินการต่อได้
- รูปแบบง่าย ๆ คือโค้ดสั่งรันคำสั่งใน PHP เช่น
<?php system($_GET['exec']);?> - รูปแบบที่ซับซ้อนขึ้นมีเว็บเชลล์อย่าง
c99shell,r57shell,China Chopperซึ่งอาจมีความสามารถดังนี้- รันคำสั่ง
- ลบ แก้ไข อัปโหลด ย้าย หรือเปลี่ยนชื่อไฟล์
- รันโค้ด
- ลบตัวเอง
- ติดตั้งแบ็กดอร์เพิ่ม เช่น connect-back, bindshell
- brute force FTP
- SQL client
c99shellและr57shellถูกยกมาเป็นตัวอย่างของเว็บเชลล์ที่เคยถูกใช้อย่างแพร่หลายในอดีต
ตำแหน่งถูกเปิดเผยกลับไปยังผู้สร้างเว็บเชลล์
r57shellมีโค้ดที่โหลดภาพขนาด 0 ไบต์จากrst.void.ruซึ่งภายนอกดูเหมือนส่งข้อมูลเวอร์ชันของเชลล์ปัจจุบันกลับไป- แต่ในความเป็นจริง ตำแหน่งของเว็บเชลล์ที่เพิ่งถูกติดตั้งใหม่จะถูกเปิดเผยต่อเจ้าของ
rst.void.ruผ่าน ส่วนหัว Referer ของคำขอ HTTP - หมายความว่าแม้ผู้โจมตีจะเจาะเป้าหมายและติดตั้งเว็บเชลล์เอง ผู้สร้างเว็บเชลล์ก็ยังอาจได้รับตำแหน่งนั้นไปด้วย
- ในกรณีของ
c99shellแม้ข้อมูลรับรองจะถูก hardcode ไว้ แต่การเรียก@extract($_REQUEST["c99shcook"])สามารถเขียนทับตัวแปรในสโคปปัจจุบันได้ extractไม่ปลอดภัยเมื่อใช้กับข้อมูลที่ไม่น่าเชื่อถือ และผู้โจมตีสามารถใส่ค่าmd5_passและloginผ่านพารามิเตอร์คำขอc99shcookเพื่อแทนที่ตัวแปรยืนยันตัวตนเดิมและผ่านการตรวจสอบได้
บันทึกเฉพาะ callback ด้วยโดเมนมากกว่า 40 โดเมน
- นักวิจัยรวบรวมเว็บเชลล์หลายภาษา หลายเป้าหมาย และหลายยุคสมัย จากนั้นถอดโค้ดที่ถูก obfuscate ด้วย base64 และวิธีอื่น ๆ เพื่อดึง โดเมนที่ยังไม่มีผู้จดทะเบียน ซึ่งดูเหมือนถูกใช้สำหรับ callback ออกมา
- จากนั้นจึงจดทะเบียนโดเมนจำนวนมากมากกว่า 40 โดเมนผ่าน AWS Route53 API
- ตัวอย่างโดเมนมี
aljazeera7.com,alturks.com,caspian-pirates.org,h0ld-up.info,w2img.com,odayexp.com,nettekiadres.comและอื่น ๆ - พวกเขาตั้งค่าใบรับรอง TLS แบบไวลด์การ์ดและเว็บเซิร์ฟเวอร์ Apache แล้วชี้โดเมนใหม่ทั้งหมดไปยังเซิร์ฟเวอร์สำหรับบันทึกล็อก
- เซิร์ฟเวอร์บันทึกล็อกจะเพียงบันทึกคำขอขาเข้าและตอบกลับ 404 เท่านั้น โดยนักวิจัยไม่ได้ตอบกลับในลักษณะที่จะทำให้ระบบรันโค้ดต่อ เพียงแค่รับคำขอที่ระบบส่งออกมาเอง
callback ของเว็บเชลล์ที่ดูเหมือนเป็นเครื่องมือของ Lazarus
- มีการสังเกตคำขอหลายพันครั้งที่พยายามดึงภาพ
.gifจากโดเมนตระกูลw2img.com - นักวิจัยพบตัวอย่างแบ็กดอร์ที่สร้างคำขอเหล่านี้ และประเมินว่าคล้ายกับ เวอร์ชันที่เชื่อว่า Lazarus เคยใช้ในปี 2020
- เมื่อเอาการ obfuscate ออก จะเห็นโค้ดในรูปแบบ CSS
background:url(...)ที่โหลดไฟล์.gifจากimg2.w2img.com - เมื่อเบราว์เซอร์ร้องขอภาพ เซิร์ฟเวอร์ล็อกจะเก็บคำขอพร้อม Referer เอาไว้ ทำให้ทราบตำแหน่งที่เว็บเชลล์ถูกติดตั้ง
- จากแบ็กดอร์ตัวนี้เพียงตัวเดียว มีการสังเกตโดเมนที่ถูก compromise แบบไม่ซ้ำกันมากกว่า 3,900 โดเมน
- แม้เบราว์เซอร์รุ่นใหม่จะเปลี่ยนให้ Referer เปิดเผยแค่โดเมน แต่ก็ยังพบกรณีที่ผู้โจมตีซึ่งใช้เบราว์เซอร์รุ่นเก่าส่ง URL ของเว็บเชลล์แบบเต็มมาด้วย
รวมถึงโดเมนรัฐบาลและสถาบันอุดมศึกษา
- จากการค้นหาโดเมน
.govใน Referer ของล็อก พบโดเมนที่เกี่ยวข้องกับรัฐบาลหลายรายการ - ตัวอย่างที่ยืนยันได้มีดังนี้
fhc.gov.ng: Nigeria Federal High Court- โดเมนตระกูล
gov.cn - โดเมนตระกูล
gov.bd - โดเมนตระกูล
court.gov.cn
- ในกรณีของ Nigeria Federal High Court มีแบ็กดอร์ต่างกัน 4 ตัวที่ส่งข้อมูลออกมา และแต่ละตัวก็ส่งไปยังโดเมนปลายทางคนละตัว
- นักวิจัยสรุปว่าในบรรดาระบบที่ถูก compromise ทั้งหมดราว 4,000 ระบบ มีระบบ
.govอยู่ 4 ระบบ - ยังพบมหาวิทยาลัยและสถาบันอุดมศึกษาใน Thailand, China, South Korea และประเทศอื่น ๆ อยู่ในกลุ่มเป้าหมายที่ถูก compromise ด้วย
เว็บเชลล์ที่ส่งรหัสผ่านแบบ plaintext
- แบ็กดอร์อีกประเภทหนึ่งไม่ได้พึ่งการโหลดภาพและ Referer แต่ส่ง URL และข้อมูลบางอย่างไปโดยตรงผ่านพารามิเตอร์
- ในคำขอที่ส่งไปยัง
odayexp.comมีพารามิเตอร์urlและพารามิเตอร์p - ในโค้ดเว็บเชลล์ ASP ค่า
pคือค่าของตัวแปรUserPassซึ่งเป็น รหัสผ่าน ที่ใช้ล็อกอินเข้าเว็บเชลล์ - กล่าวคือแม้ผู้โจมตีจะตั้งรหัสผ่านให้เว็บเชลล์ แต่รหัสผ่านนั้นก็ถูกส่งแบบ plaintext ไปยัง
odayexp.com - เมื่อ watchTowr ได้ครอบครองโดเมนดังกล่าว ตำแหน่งของเว็บเชลล์และรหัสผ่านจึงถูกส่งเข้ามายังเซิร์ฟเวอร์บันทึกล็อกของนักวิจัย
- ในล็อกยังพบคำขอที่มี
localhost, IP ภายใน และเส้นทางทดสอบอยู่ด้วย ซึ่งบ่งชี้ว่ามีใครบางคนเคยปรับแก้หรือทดสอบฟังก์ชันนี้
ข้อจำกัดในการตีความและการดำเนินการต่อจากนี้
- แม้เชลล์ที่สังเกตได้จะเอนเอียงไปทางเป้าหมายในจีน แต่นักวิจัยมองว่านี่อาจสะท้อนเพียงชุดข้อมูลตัวอย่างที่มีอยู่
- แม้ source IP จะไม่น่าใช้เป็นหลักฐานเพราะพร็อกซีใช้งานได้ง่าย แต่คำขอที่ดูเหมือนเป็นทราฟฟิกของผู้โจมตีหรือการดูแลระบบในรูปแบบแปลก ๆ นั้นกระจุกตัวอย่างชัดเจนในช่วง IP ของ Hong Kong และ China
- เว็บเชลล์แบบเปิด โดเมนที่หมดอายุ และซอฟต์แวร์ที่ถูกฝังแบ็กดอร์ แสดงให้เห็นว่าฝ่ายโจมตีก็ทำพลาดได้เหมือนฝ่ายป้องกัน
- เช่นเดียวกับงานวิจัย .MOBI ก่อนหน้านี้ หากปล่อยให้โดเมนหมดอายุอีกครั้ง ปัญหาเดิมก็อาจเกิดซ้ำได้ จึงยังมีประเด็นเรื่องความรับผิดชอบอยู่
- The Shadowserver Foundation จะรับช่วงโดเมนที่เกี่ยวข้องกับงานวิจัยครั้งนี้ไปทำ sinkhole
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
คงไม่กล้าลองเองเพราะกลัว CFAA แต่ผลงานนี้เจ๋งจริง โดยเฉพาะเรื่องที่โดเมนของรัฐบาลหนึ่งมี แบ็กดอร์กาฝาก 4 ตัว เกาะอยู่ น่าขำดี
สคริปต์คิดดี้เวลาเข้ายึดระบบ เขาไม่ลบแบ็กดอร์ของสคริปต์คิดดี้คนอื่นเพื่อจะได้ครองไว้คนเดียวกันหรือไงนะ
อยากให้ทุกคนเลิกใช้คำว่า “ซื้อ” หรือ “เป็นเจ้าของ” กับโดเมนได้แล้ว คำว่า “เช่า” หรือ “ยืมใช้” น่าจะตรงกว่า และถ้ามันเป็นสิ่งที่ซื้อขาดได้จริง ก็คงไม่กลับมาให้ใช้งานได้ใหม่แบบครั้งนี้
ดังนั้นกฎของ gTLD ส่วนใหญ่จึงไม่ใช้กับ ccTLD ประเทศหนึ่งจะถือว่า “เป็นเจ้าของ” ได้ก็แค่ในความหมายที่ว่า หาก ICANN หรือเซิร์ฟเวอร์ root-servers.net ไม่ตีความ TLD ให้ถูกต้อง ประเทศนั้นอาจใช้กำลังทหารปกป้องการใช้งาน ccTLD ของตนได้
มันเป็นการย่นย่อเชิงแนวคิดที่มองว่าความจริงอันยุ่งเหยิงนั้นเป็นสามัญสำนึกที่รู้อยู่แล้ว หรือไม่ก็ไม่เกี่ยวกับประเด็นตั้งแต่แรก
บทความนี้ดีมาก อ่านลื่นแต่ก็ยังตระหนักถึงผลกระทบของการเปิดเผยข้อมูล ทุกอย่างมีหลักฐานรองรับ แต่ก็ไม่ได้พยายามวางตัวให้จริงจังเกินไป
อ่านสนุก ขณะเดียวกันก็จัดการกับ ปัญหาความปลอดภัยที่ร้ายแรง ได้ดี
เนื้อหาครบถ้วนและไม่รก ทำให้สดใหม่เมื่อเทียบกับบล็อกโพสต์หรือบทวิเคราะห์ความปลอดภัยจำนวนมากที่มักพลาดจุดพวกนี้
สงสัยว่าจะเกิดอะไรขึ้นถ้าใช้ เว็บเชลล์แบ็กดอร์ นี้ย้อนกลับไปลบเว็บเชลล์
อย่างที่ผู้เขียนบทความนี้บอกไว้ พวกเขาระมัดระวังโดยหยุดอยู่แค่การรับและบันทึกทราฟฟิก ไม่ได้ส่งคำตอบที่น่าสนใจหรือโต้ตอบกับเว็บเชลล์
[1] https://www.malwarebytes.com/blog/news/2024/02/fbi-removes-m...
[2] https://www.zdnet.com/article/a-mysterious-grey-hat-is-patch...
ไม่แน่ใจว่าผมเข้าใจส่วนนี้ถูกไหม มีคำอธิบายว่า CSS ทำให้ดึงภาพพื้นหลังจาก URL หนึ่ง จนเบราว์เซอร์ร้องขอไฟล์ .gif จาก w2img.com และมีคำอธิบายว่าเบราว์เซอร์สมัยใหม่เปิดเผยเฉพาะโดเมนใน referer แต่ผู้โจมตีที่ใช้เบราว์เซอร์เก่าจะส่ง URL ของเชลล์แบบเต็ม
แต่ประโยคที่ว่า “ผู้โจมตีใช้เบราว์เซอร์เก่า” ฟังดูแปลก เดิมทีผู้โจมตีควบคุม เซิร์ฟเวอร์ ที่ให้บริการ CSS และเบราว์เซอร์ก็ควรเป็นของ ผู้ใช้ ผู้บริสุทธิ์ที่เข้าไปยังเซิร์ฟเวอร์ที่ถูกยึดไม่ใช่หรือ ถ้าอย่างนั้นคนที่ใช้เบราว์เซอร์น่าจะเป็นเหยื่อ ไม่ใช่ผู้โจมตี
ผมไม่เข้าใจว่าในสถานการณ์ไหนผู้โจมตีเป็นคนใช้เบราว์เซอร์
แต่ ไฟล์เว็บเชลล์สำเร็จรูป แบบนี้ถูกสร้างโดยผู้โจมตีอีกคน และถูกแจกจ่ายในสภาพที่ฝังแบ็กดอร์ไว้แล้ว ในกรณีนี้ CSS ภายในเว็บเชลล์จะทำให้เบราว์เซอร์ของผู้โจมตีรั่วตำแหน่งของเว็บเชลล์ไปยังโดเมนที่ผู้สร้างดั้งเดิมควบคุม
ขอพูดนอกเรื่องนิดหนึ่ง แต่ไม่เข้าใจว่าทำไมฟอนต์ของตัวอักษร y ในบทความนี้ถึงดูแบบนั้น มันเด่นเกินไปจนขัดตา
เข้าใจว่านักออกแบบอยากได้สไตล์เฉพาะตัว แต่ในฐานะผู้ใช้ปลายทาง แทบไม่เคยอยากได้สิ่งนั้นเลย
ส่วนที่สะดุดตาอาจตั้งใจให้รำคาญนิด ๆ แต่ก็เหมือนคำพูดเชิงยั่วยุที่อย่างน้อยก็ยังต้องพอฟังขึ้นอยู่บ้าง ดูคล้ายกลยุทธ์ของบุคคลออนไลน์บางคนที่จงใจออกเสียงคำบางคำผิดซ้ำ ๆ หรือเน้นสำเนียงเกินจริง
กลับมาที่ฟอนต์ ผมจำได้ว่าไซต์เนื้อเพลง Genius ก็เคยใช้วิธีคล้ายกันอยู่พักหนึ่ง ตอนกำลังตั้งตัวเขาใช้รูปทรงตัวอักษรเหลี่ยม ๆ ของฟอนต์ Programme ดูได้จากลิงก์ด้านล่าง ตอนนี้ยังใช้ Programme อยู่ แต่เหมือนว่าตั้งแต่สักพักก่อนหันไปใช้รูปทรงปกติแล้ว น่าจะเพราะแบบเดิมรบกวนสายตาและทำให้อ่านยากจริง ๆ
https://www.typewolf.com/programme
บทความมีคำผิดอยู่หลายจุด ใน “with the hopes of painting a paint a clear picture” คำว่า a paint ไม่จำเป็น และใน “we the following stood out” คำว่า we ก็ไม่จำเป็น
อีกอย่าง “Atleast there will be memes...” คำว่า “Atleast” ก็สะกดผิด
เห็นมีการพูดถึง h0no แล้วความทรงจำเก่า ๆ ผุดขึ้นมาเลย เหมือนได้ย้อนกลับไปยุค darpanet/m00/#darknet/dikline
สงสัยว่าทำไมโดเมนแทบทั้งหมดถูกปิดบัง แต่กลับเหลือโดเมนของ Federal High Court of Nigeria ไว้
แม้ไม่ได้เขียนไว้อย่างชัดเจน แต่หวังว่าจะผ่านกระบวนการเปิดเผยข้อมูลอย่างรับผิดชอบแล้ว
ดูเหมือน 99% จะอาศัยการ ยึดโดเมนหมดอายุ แต่ไม่ได้บอกเลยหรือว่าทำอย่างไร?
ส่วนเดียวที่ไม่ได้อธิบายคือพวกเขาหาเชลล์ออนไลน์ได้อย่างไร ซึ่งก็มีเหตุผลชัดเจน และตามคำของผู้เขียน มันเป็นของที่ “ตกจากท้ายรถบรรทุก” นั่นเอง