バックドア経由のバックドア侵入 ― もうひとつの20ドルのドメイン、さらに多くの政府

バックドアをバックドアする ― もうひとつの20ドルのドメイン、さらに多くの政府

• 2024年、.MOBIドメインの所有権検証を回避して有効なTLS/SSL証明書を発行できた研究により、インターネット全体に大きな変化をもたらした
• 今回は、期限切れまたは放棄されたインフラを活用して、数千のシステムにアクセスする方法を研究した
• 他のハッカーが残したバックドアを乗っ取って同じシステムへのアクセス権を得るという手法で、最小限の労力で同じ結果を得られた

Webシェル

• WebシェルはWebサーバーにバックドアを設置し、追加の攻撃を実行できるようにするコードである
• c99shell、r57shell、China Chopperなど、さまざまな形態のWebシェルが存在し、攻撃者に必要なあらゆる機能を提供する
• これらのWebシェルには、しばしば他のハッカーが侵入できるようバックドアが仕込まれている

セキュリティ専門家の思い込み

• 多くのWebシェルはパスワード保護機能を提供するが、元の作者がすべてのホストにアクセスできる「マスターキー」を用意していることもある
• たとえば、c99shellは攻撃者が設定したパスワードに加え、作者が設定したパスワードでもアクセスできる

新たな研究

• 期限切れまたは放棄されたインフラを活用して、インターネットの脆弱性を研究しようとした
• さまざまなWebシェルを収集し、保護されたコードを解読して、コールバック関数で使われていた未登録ドメインを抽出した
• AWS Route53 APIを使ってドメインを大量登録し、ロギングサーバーに接続してリクエストを記録した

北朝鮮との関連?

• Lazarus GroupやAPT37として知られる北朝鮮系と似た攻撃パターンが見つかったが、実際には別の攻撃者がAPT級のツールを再利用していたようだ
• 数千件のリクエストがロギングサーバーに送られ、これはWebシェルが配布・アクセスされたことを知らせる役割を果たした

.GOVドメイン

• 複数の政府機関ドメインでバックドアが見つかっており、これは4種類の異なるWebシェルを通じて収集された情報である

結論

• インターネットの老朽化と期限切れインフラの影響により、このような問題は今後も続くと予想される
• 攻撃者も防御側と同じようにミスを犯しており、それが攻撃と防御の均衡を保つ一因になっている
• watchTowrは継続的なセキュリティテストと迅速な脅威対応を通じて、顧客組織を保護している