Siber Suç , Dolandırıcılık Yönetimi ve Siber Suç , Hizmet Olarak Kötü Amaçlı Yazılım
Web Kabuklarındaki Arka Kapıları İnceleyen Araştırmacılar 4.000 Virüslü Sistem Buldu
Mathew J. Schwartz (euroinfosec) •
8 Ocak 2025
Saldırganların oluşturduğu kötü amaçlı altyapının bakımını bıraktıktan sonra onlara ne olur?
Ayrıca bakınız: Active Directory Güvenliği Operasyonel Dayanıklılığı Nasıl Artırır?
Eski Ordu baladını başka bir deyişle, bu tür altyapı asla ölmez, sadece kaybolur.
Kötü amaçlı kod bulaşmış birçok sistem “eve telefon etmeye” çalışmaya devam edecek, ancak ulaştıkları etki alanının kontrolü başka biri tarafından ele geçirilmediği sürece yanıt alamayacaktır. Bu sunucu enfeksiyonlarının çoğu, kötü amaçlı web kabuklarından kaynaklanmaktadır. Bu tür yazılımlar, saldırganlara HTTP aracılığıyla uzaktan erişim sağlamak ve komutları çalıştırmalarına, dosyaları yüklemelerine ve yürütmelerine, verileri sızdırmalarına ve daha fazlasına izin vermek için virüslü sunuculara yükleniyor.
Saldırı yüzeyi yönetimi tedarikçisi watchTowr’dan araştırmacılar, “süresi dolmuş ve terk edilmiş altyapıya” ulaşan web kabukları tarafından enfekte olmuş kaç sistem bulabildiklerini araştırmaya karar verdiler.
Şimdi şu kırışıklığı ekleyin: Enfeksiyonların izini sürmek için, popüler web kabuklarındaki sabit kodlu ancak gizlenmiş arka kapılara bağlı, araçlarıyla yapılan herhangi bir enfeksiyonu ele geçirebilmek için geliştiricileri tarafından gizlenen iletişimleri aradılar.
“Bir göreve çıktık: Dil, hedef veya yaştan bağımsız olarak mümkün olduğunca çok sayıda web kabuğu toplayın, base64’ün gücüyle korunan tüm kodların karmaşıklığını kaldırın ve bir tür geri aramada kullanılması muhtemel tüm kayıtlı olmayan alanları çıkarın watchTowr araştırmacıları “işlev” dedi.
Kayıtsız alan adı aramalarının sonuçlarını AWS Route53 API’ye aktardılar ve böylece her biri 20 ABD doları karşılığında 40’tan fazla alanı otomatik olarak kaydettirdiler. Dahil edilen alanlar alturks.com, h4cks.in, hackru.info Ve w2img.com. Araştırmacılar daha sonra bu alanlara giden tüm trafiği, yalnızca gelen tüm istekleri alıp günlüğe kaydedecek ve hiçbirine yanıt vermeyecek şekilde ayarlanmış kendi günlük sunucularına yönlendirdiler.
“Basitçe söylemek gerekirse: Artık terk edilmiş altyapıya ve/veya arka kapıların içinde bulunan süresi dolmuş alanlara bağlı olan arka kapıları ele geçiriyoruz ve o zamandan beri sonuçların akınını izliyoruz” dediler. “Bu ele geçirme, güvenliği ihlal edilmiş ana bilgisayarları ‘rapor verdiklerinde’ takip etmemize olanak sağladı ve teorik olarak bize, güvenliği ihlal edilmiş bu ana bilgisayarlara el koyma ve kontrol etme gücü verdi.”
Kötü niyetli herhangi bir kullanıcı bu tür faaliyetleri pekâlâ takip edebilirken, araştırmacılar, ana bilgisayarlara el koyma veya tehlikeye atma konusunda net bir çizgi çizdiklerini ve bunun yerine yalnızca gelen verileri topladıklarını söyledi.
Kayıtlarını analiz ediyorlar ve şu ana kadar Bangladeş, Çin ve Nijerya’daki hükümet sistemlerinin yanı sıra Çin, Güney Kore ve Tayland’daki eğitim sistemleri de dahil olmak üzere eve telefon eden 4.000 ihlal edilmiş sistemi saydılar.
Kuzey Kore’deki Lazarus Grubuna atfedilen ve 2020 saldırılarıyla bağlantılı olan ve diğer saldırganların o zamandan beri başka bir amaca yönelik olarak kullanmış olabileceği bir arka kapı çeşidine kadar takip edilen çok sayıda talep. .gif adresinden dosya w2img.com sunucu. “Yalnızca bu arka kapıdan 3.900’den fazla benzersiz, güvenliği ihlal edilmiş alan adı gördük; bunun çok verimli bir araç olduğu açık” dediler.
Araştırmacılar, kötü amaçlı etkinliğe bağlı alan adı kayıtlarının yeniden sona ermesine ve başka birinin potansiyel olarak ele geçirmesine izin vermek yerine, bunu genellikle kötü amaçlı alan adlarıyla bağlantılı alan adlarını çökerten, kâr amacı gütmeyen bir güvenlik kuruluşu olan The Shadowserver Foundation’a devrettiklerini söyledi.
Arka Kapılardaki Arka Kapılar
Araştırma, kötü amaçlı web kabuğu seçeneklerinin hala çok sayıda olduğunu ve saldırganlara yönelik olarak çoğunlukla ücretsiz olarak kullanılabildiğini hatırlatıyor. Çoğu web kabuğu, %75 veya daha fazla pazar payına sahip, en yaygın kullanılan sunucu tarafı dili olmaya devam eden PHP ile yazılmıştır.
Araştırmacılar, uzun süredir popüler olan web kabuğu seçeneklerinin arasında c99 kabuğu ve r57 kabuğunun bulunduğunu söylüyor. Diğer örnekler arasında, APT41 olarak takip edilen grup da dahil olmak üzere, Pekin destekli hükümet korsanlarına atfedilen çok sayıda saldırıya bağlanan China Chopper yer alıyor.
WatchTowr araştırmacılarının faydalandığı üzere, web kabuklarının tuhaflıklarından biri, yaratıcılarının sıklıkla, araç kullanıcılarından virüslü siteleri çalmalarına olanak tanıyan arka kapılar eklemesidir.
Forumların hacklenmesiyle ilgili uzun süredir bir söylenti var, araştırmalar bu hain stratejiyi gerçek olarak destekliyor. 2016 yılında yayınlanan “Hırsızlar Arasında Onur Yok: Kötü Amaçlı Web Kabuklarının Büyük Ölçekli Analizi” araştırma makalesinde ayrıntılı olarak belirtildiği gibi, bu araştırmacılar tarafından incelenen 1.449 web kabuğunun yaklaşık %30’u, yaratıcılarına evlerini telefonla aramak için gizli bir mekanizma içeriyordu. Mermiler, yürütüldükten sonra, yeni mermi tesislerinin yerini açığa çıkarmak amacıyla çeşitli üçüncü taraflarla gizlice iletişim kurar.”
Bu yeni kabuk kurulumlarının yerini bilmek, araç geliştiricisinin, bir başkası bunları bulmak ve bulaştırmak için zaman, çaba ve masraf harcadıktan sonra web kabuklarının kontrolünü ele geçirmesine olanak tanır.
Şok edici: Hırsızlar arasında gerçekten onur yoktur.
Web kabukları, yaratıcıları tarafından düzenli olarak arka kapısı kapatılan tek hackleme aracı türü değildir. Araştırma makalesinde ayrıca, çalınan kimlik bilgilerini yalnızca kullanıcılarla değil, araç setinin yaratıcısıyla da paylaşmak üzere tasarlanmış kimlik avı araç kitlerinin yanı sıra, yüklü olduğu herhangi bir sisteme arka kapı açmak için tasarlanmış dağıtılmış bir hizmet reddi aracını içeren örnekler de yer alıyor.
Bilgisayar korsanlığı aracı kullanıcılarına bir not: Uyarı emptor.