GN⁺: 백도어를 통한 백도어 침입 – 또 다른 $20 도메인, 더 많은 정부들
(labs.watchtowr.com)-
백도어를 백도어링하기 - 또 다른 $20 도메인, 더 많은 정부
- 2024년, .MOBI 도메인 소유권 검증을 우회하여 유효한 TLS/SSL 인증서를 발급할 수 있었던 연구를 통해 인터넷 전반에 큰 변화를 일으켰음
- 이번에는 만료되거나 버려진 인프라를 활용하여 수천 개의 시스템에 접근하는 방법을 연구했음
- 다른 해커들이 남긴 백도어를 가로채어 동일한 시스템 접근 권한을 얻는 방식으로, 최소한의 노력으로 동일한 결과를 얻을 수 있었음
-
웹 셸
- 웹 셸은 웹 서버에 백도어를 설치하여 추가적인 공격을 수행할 수 있도록 하는 코드임
- c99shell, r57shell, China Chopper 등 다양한 형태의 웹 셸이 존재하며, 공격자에게 필요한 모든 기능을 제공함
- 이러한 웹 셸은 종종 다른 해커들이 해킹할 수 있도록 백도어가 설치되어 있음
-
보안 전문가의 착각
- 많은 웹 셸은 비밀번호 보호 기능을 제공하지만, 원래 제작자가 모든 호스트에 접근할 수 있는 '마스터 키'를 제공하기도 함
- 예를 들어, c99shell은 공격자가 설정한 비밀번호 외에도 제작자가 설정한 비밀번호로 접근할 수 있음
-
새로운 연구
- 만료되거나 버려진 인프라를 활용하여 인터넷의 취약성을 연구하고자 함
- 다양한 웹 셸을 수집하고, 보호된 코드를 해독하여 콜백 함수에 사용된 미등록 도메인을 추출함
- AWS Route53 API를 사용하여 대량으로 도메인을 등록하고, 로깅 서버에 연결하여 요청을 기록함
-
북한과의 연결?
- Lazarus Group, APT37로 알려진 북한과 유사한 공격 패턴을 발견했으나, 실제로는 다른 공격자들이 APT 수준의 도구를 재사용한 것으로 보임
- 수천 개의 요청이 로깅 서버로 전송되었으며, 이는 웹 셸이 배포되고 접근되었음을 알리는 역할을 함
-
.GOV 도메인
- 여러 정부 기관의 도메인에서 백도어가 발견되었으며, 이는 4개의 다른 웹 셸을 통해 수집된 정보임
-
결론
- 인터넷의 노후화와 만료된 인프라의 영향으로 이러한 문제는 계속될 것으로 예상됨
- 공격자들도 방어자와 마찬가지로 실수를 저지르며, 이는 공격과 방어의 균형을 맞추는 데 기여함
- watchTowr는 지속적인 보안 테스트와 신속한 위협 대응을 통해 고객의 조직을 보호하고 있음
Hacker News 의견
-
CFAA에 대한 두려움 때문에 시도하지 못할 것 같지만, 이 작업은 매우 멋지다는 의견이 있음
- 정부 도메인에 네 개의 기생충이 있는 것이 재미있음
- 시스템을 해킹할 때 다른 해커의 백도어를 제거하지 않는지 궁금함
-
AWS Route53 API와 연결하여 대량으로 도메인을 구매했음
- 비용은 $20이며, 더 많은 비용으로 더 나쁜 일을 한 적이 있음
-
The Shadowserver Foundation의 지원에 감사하며, 이 연구에 연루된 도메인의 소유권을 넘겨받아 싱크홀링을 진행함
-
도메인과 관련하여 "구매" 및 "소유"라는 용어 대신 "임대" 또는 "대여"라는 용어를 사용하길 바람
- 도메인이 구매 가능했다면 이번 실험에서 다시 사용될 수 없었을 것임
-
이 글을 즐겁게 읽었으며, 가벼운 마음으로 작성되었고, 공개의 영향을 인식하고 있음
- 모든 것이 입증되었지만 너무 진지하게 받아들이지 않음
- 심각한 문제에 대해 이야기하면서도 즐거운 읽을거리였음
-
웹쉘의 백도어를 이용해 웹쉘을 삭제하면 어떻게 될지 궁금함
-
약간 주제에서 벗어나지만, 이 글의 "y" 문자 폰트가 눈에 띔
-
기술적으로 중복된 내용이며, 지난주에 두 번 제출된 적이 있음