백도어를 통한 백도어 침입 – 또 다른 $20 도메인, 더 많은 정부들

백도어를 백도어링하기 - 또 다른 $20 도메인, 더 많은 정부

• 2024년, .MOBI 도메인 소유권 검증을 우회하여 유효한 TLS/SSL 인증서를 발급할 수 있었던 연구를 통해 인터넷 전반에 큰 변화를 일으켰음
• 이번에는 만료되거나 버려진 인프라를 활용하여 수천 개의 시스템에 접근하는 방법을 연구했음
• 다른 해커들이 남긴 백도어를 가로채어 동일한 시스템 접근 권한을 얻는 방식으로, 최소한의 노력으로 동일한 결과를 얻을 수 있었음

웹 셸

• 웹 셸은 웹 서버에 백도어를 설치하여 추가적인 공격을 수행할 수 있도록 하는 코드임
• c99shell, r57shell, China Chopper 등 다양한 형태의 웹 셸이 존재하며, 공격자에게 필요한 모든 기능을 제공함
• 이러한 웹 셸은 종종 다른 해커들이 해킹할 수 있도록 백도어가 설치되어 있음

보안 전문가의 착각

• 많은 웹 셸은 비밀번호 보호 기능을 제공하지만, 원래 제작자가 모든 호스트에 접근할 수 있는 '마스터 키'를 제공하기도 함
• 예를 들어, c99shell은 공격자가 설정한 비밀번호 외에도 제작자가 설정한 비밀번호로 접근할 수 있음

새로운 연구

• 만료되거나 버려진 인프라를 활용하여 인터넷의 취약성을 연구하고자 함
• 다양한 웹 셸을 수집하고, 보호된 코드를 해독하여 콜백 함수에 사용된 미등록 도메인을 추출함
• AWS Route53 API를 사용하여 대량으로 도메인을 등록하고, 로깅 서버에 연결하여 요청을 기록함

북한과의 연결?

• Lazarus Group, APT37로 알려진 북한과 유사한 공격 패턴을 발견했으나, 실제로는 다른 공격자들이 APT 수준의 도구를 재사용한 것으로 보임
• 수천 개의 요청이 로깅 서버로 전송되었으며, 이는 웹 셸이 배포되고 접근되었음을 알리는 역할을 함

.GOV 도메인

• 여러 정부 기관의 도메인에서 백도어가 발견되었으며, 이는 4개의 다른 웹 셸을 통해 수집된 정보임

결론

• 인터넷의 노후화와 만료된 인프라의 영향으로 이러한 문제는 계속될 것으로 예상됨
• 공격자들도 방어자와 마찬가지로 실수를 저지르며, 이는 공격과 방어의 균형을 맞추는 데 기여함
• watchTowr는 지속적인 보안 테스트와 신속한 위협 대응을 통해 고객의 조직을 보호하고 있음