# 백도어를 통한 백도어 침입 – 또 다른 $20 도메인, 더 많은 정부들 > Clean Markdown view of GeekNews topic #18709. Use the original source for factual precision when an external source URL is present. ## Metadata - GeekNews HTML: [https://news.hada.io/topic?id=18709](https://news.hada.io/topic?id=18709) - GeekNews Markdown: [https://news.hada.io/topic/18709.md](https://news.hada.io/topic/18709.md) - Type: GN+ - Author: [neo](https://news.hada.io/@neo) - Published: 2025-01-13T10:00:51+09:00 - Updated: 2025-01-13T10:00:51+09:00 - Original source: [labs.watchtowr.com](https://labs.watchtowr.com/more-governments-backdoors-in-your-backdoors/) - Points: 1 - Comments: 1 ## Topic Body - **백도어를 백도어링하기 - 또 다른 $20 도메인, 더 많은 정부** - 2024년, .MOBI 도메인 소유권 검증을 우회하여 유효한 TLS/SSL 인증서를 발급할 수 있었던 연구를 통해 인터넷 전반에 큰 변화를 일으켰음 - 이번에는 만료되거나 버려진 인프라를 활용하여 수천 개의 시스템에 접근하는 방법을 연구했음 - 다른 해커들이 남긴 백도어를 가로채어 동일한 시스템 접근 권한을 얻는 방식으로, 최소한의 노력으로 동일한 결과를 얻을 수 있었음 - **웹 셸** - 웹 셸은 웹 서버에 백도어를 설치하여 추가적인 공격을 수행할 수 있도록 하는 코드임 - c99shell, r57shell, China Chopper 등 다양한 형태의 웹 셸이 존재하며, 공격자에게 필요한 모든 기능을 제공함 - 이러한 웹 셸은 종종 다른 해커들이 해킹할 수 있도록 백도어가 설치되어 있음 - **보안 전문가의 착각** - 많은 웹 셸은 비밀번호 보호 기능을 제공하지만, 원래 제작자가 모든 호스트에 접근할 수 있는 '마스터 키'를 제공하기도 함 - 예를 들어, c99shell은 공격자가 설정한 비밀번호 외에도 제작자가 설정한 비밀번호로 접근할 수 있음 - **새로운 연구** - 만료되거나 버려진 인프라를 활용하여 인터넷의 취약성을 연구하고자 함 - 다양한 웹 셸을 수집하고, 보호된 코드를 해독하여 콜백 함수에 사용된 미등록 도메인을 추출함 - AWS Route53 API를 사용하여 대량으로 도메인을 등록하고, 로깅 서버에 연결하여 요청을 기록함 - **북한과의 연결?** - Lazarus Group, APT37로 알려진 북한과 유사한 공격 패턴을 발견했으나, 실제로는 다른 공격자들이 APT 수준의 도구를 재사용한 것으로 보임 - 수천 개의 요청이 로깅 서버로 전송되었으며, 이는 웹 셸이 배포되고 접근되었음을 알리는 역할을 함 - **.GOV 도메인** - 여러 정부 기관의 도메인에서 백도어가 발견되었으며, 이는 4개의 다른 웹 셸을 통해 수집된 정보임 - **결론** - 인터넷의 노후화와 만료된 인프라의 영향으로 이러한 문제는 계속될 것으로 예상됨 - 공격자들도 방어자와 마찬가지로 실수를 저지르며, 이는 공격과 방어의 균형을 맞추는 데 기여함 - watchTowr는 지속적인 보안 테스트와 신속한 위협 대응을 통해 고객의 조직을 보호하고 있음 ## Comments ### Comment 33334 - Author: neo - Created: 2025-01-13T10:00:51+09:00 - Points: 1 ###### [Hacker News 의견](https://news.ycombinator.com/item?id=42674455) - CFAA에 대한 두려움 때문에 시도하지 못할 것 같지만, 이 작업은 매우 멋지다는 의견이 있음 - 정부 도메인에 네 개의 기생충이 있는 것이 재미있음 - 시스템을 해킹할 때 다른 해커의 백도어를 제거하지 않는지 궁금함 - AWS Route53 API와 연결하여 대량으로 도메인을 구매했음 - 비용은 $20이며, 더 많은 비용으로 더 나쁜 일을 한 적이 있음 - The Shadowserver Foundation의 지원에 감사하며, 이 연구에 연루된 도메인의 소유권을 넘겨받아 싱크홀링을 진행함 - 도메인과 관련하여 "구매" 및 "소유"라는 용어 대신 "임대" 또는 "대여"라는 용어를 사용하길 바람 - 도메인이 구매 가능했다면 이번 실험에서 다시 사용될 수 없었을 것임 - 이 글을 즐겁게 읽었으며, 가벼운 마음으로 작성되었고, 공개의 영향을 인식하고 있음 - 모든 것이 입증되었지만 너무 진지하게 받아들이지 않음 - 심각한 문제에 대해 이야기하면서도 즐거운 읽을거리였음 - 웹쉘의 백도어를 이용해 웹쉘을 삭제하면 어떻게 될지 궁금함 - 약간 주제에서 벗어나지만, 이 글의 "y" 문자 폰트가 눈에 띔 - 기술적으로 중복된 내용이며, 지난주에 두 번 제출된 적이 있음 - [링크 1](https://news.ycombinator.com/item?id=42658405) - [링크 2](https://news.ycombinator.com/item?id=42633273)