No menos de 4.000 puertas traseras web únicas previamente implementadas por varios actores de amenazas han sido secuestradas al tomar el control de infraestructura abandonada y caducada por tan solo 20 dólares por dominio.
La empresa de ciberseguridad watchTowr Labs dijo que logró la operación registrando más de 40 nombres de dominio para los que las puertas traseras habían sido diseñadas para comando y control (C2). En colaboración con la Fundación Shadowserver, los dominios implicados en la investigación se han hundido.
“Hemos estado secuestrando puertas traseras (que dependían de infraestructura ahora abandonada y/o dominios caducados) que a su vez existían dentro de puertas traseras, y desde entonces hemos estado observando cómo llegan los resultados”, dijo el director ejecutivo de WatchTowr Labs, Benjamin Harris, y la investigadora Aliz Hammond. dicho en un artículo técnico la semana pasada.
“Este secuestro nos permitió rastrear los hosts comprometidos a medida que ‘informaban’ y, en teoría, nos dio el poder de comandar y controlar estos hosts comprometidos”.
Entre los objetivos comprometidos identificados mediante la actividad de balizamiento se encuentran entidades gubernamentales de Bangladesh, China y Nigeria; e instituciones académicas en China, Corea del Sur y Tailandia, entre otros.
Las puertas traseras, que no son más que shells web diseñados para ofrecer acceso remoto persistente a las redes de destino para su posterior explotación, varían en alcance y funcionalidad.
- Shells web simples que son capaces de ejecutar un comando proporcionado por un atacante mediante un código PHP
- c99shell
- r57shell
- China Chopper, un shell web destacado por los grupos de amenazas persistentes avanzadas (APT) del nexo con China
Tanto c99shell como r57shell son shells web con todas las funciones para ejecutar código o comandos arbitrarios, realizar operaciones de archivos, implementar cargas útiles adicionales, servidores FTP de fuerza bruta y eliminarse de hosts comprometidos.
WatchTowr Labs dijo que observó casos en los que algunos de los web shells tenían puertas traseras por parte de los mantenedores de scripts para filtrar las ubicaciones donde fueron implementados, entregando así inadvertidamente las riendas a otros actores de amenazas también.
El desarrollo se produce un par de meses después de que la compañía revelara que gastó apenas $20 para adquirir un dominio de servidor WHOIS heredado (“whois.dotmobiregistry[.]net”) asociado con el dominio de nivel superior (TLD) .mobi, identificando más de 135.000 sistemas únicos que todavía se comunicaban con el servidor incluso después de haber migrado a “whois.nic[.]móvil.”
Se trataba de varias empresas privadas, como VirusTotal, así como servidores de correo para innumerables entidades gubernamentales, militares y universitarias. Las direcciones .gov pertenecían a Argentina, Bangladesh, Bután, Etiopía, India, Indonesia, Israel, Pakistán, Filipinas, Ucrania y Estados Unidos.
“Es algo alentador ver que los atacantes cometen los mismos errores que los defensores”, dijo watchTowr Labs. “Es fácil caer en la mentalidad de que los atacantes nunca cometen un error, pero vimos evidencia de lo contrario: cajas con shells web abiertos, dominios caducados y el uso de software con puerta trasera”.
About the Author
