Einführung
Censys hat kürzlich Verbesserungen an ihrem "open-dir"-Label vorgenommen und ihr "suspicious-open-dir" veröffentlicht. Zuvor gab es nur das Label "open-dir", mit dem Forscher und andere Nutzer alle indizierten offenen Verzeichnisse entdecken können.
Offene Verzeichnisse sind im Wesentlichen Dateiserver, die jedermann ohne Authentifizierung Zugang gewähren. Sie beherbergen oft eine Vielzahl von Dateien, darunter ausführbare Dateien, Dokumente und Bilder.
Ein Beispiel für ein offenes Verzeichnis, das ebooks hostet
Diese sind bei Bedrohungsakteuren sehr beliebt, da sie zur einfachen Verteilung von Malware verwendet werden können. Und aus OPSEC-Sicht sind sie nicht mit ihrem eigentlichen C2-Server verbunden.
Mehrere Exploits und bösartige Tools werden in einem offenen Verzeichnis gehostet
Herausforderungen bei der Verwendung des "Open-Dir"-Siegels zur Erkennung bösartiger Inhalte
Zweck und Beschränkungen
Bisher gab es für die Suche nach offenen Verzeichnissen nur die Bezeichnung "open-dir". Dies zeigt uns alle Server mit einem offenen Verzeichnis, unabhängig von dessen Inhalt. Auf diese Weise konnten Forscher interessante Informationen finden, die sonst vielleicht unbemerkt geblieben wären.
Die größte Herausforderung bei dieser Kennzeichnung besteht jedoch darin, dass es ihr an Kontext mangelt und Censys fast 400.000 offene Verzeichnisse indiziert hat. Dies ist eine riesige Anzahl von Verzeichnissen, die nach verdächtigen Aktivitäten durchsucht werden müssen, und macht es schwierig, echte bösartige Verzeichnisse zu finden.
Obwohl Forscher häufig mehrere Abfragen kombinieren, lassen sich auf diese Weise nicht alle falsch-positiven Ergebnisse vollständig entfernen.
In der Vergangenheit habe ich diese Abfragen meist kombiniert, um meine Suche nach bösartigen offenen Verzeichnissen gezielter zu gestalten:
| labels: "open-dir" und labels: "c2″. |
| labels: "open-dir" und labels: "phishing" |
| labels:”open-dir” and services.http.response.body:”<keyword>“ |
Einige meiner bevorzugten Schlüsselwörter sind "Payload" und "Exploit". Diese Abfragen garantieren zwar keine 100-prozentige Trefferquote, tragen aber dazu bei, die Zahl der Fehlalarme zu verringern.
Censys hat sich dieser Herausforderung angenommen und das neue Label "Suspicious-Open-Dir" eingeführt, das die Suche nach bösartigen offenen Verzeichnissen erheblich erleichtert.
Einführung des "Suspicious-Open-Dir"-Labels
Zweck und Funktionsweise
Die Kennzeichnung "suspicious-open-dir" filtert offene Verzeichnisse auf diejenigen heraus, die von Censys als verdächtig eingestuft werden, obwohl diese nicht unbedingt bösartig sind. Durch die Verwendung dieser neuen Kennzeichnung verbleiben nur noch etwa 1 % der ursprünglichen 393k Ergebnisse. Dadurch wird die Suche nach bösartigen Inhalten erheblich erleichtert. Bitte beachten Sie, dass Server, die mit "suspicious-open-dir" gekennzeichnet sind, automatisch die Kennzeichnung "open-dir" erhalten.
393k indizierte "open-dir" im Vergleich zu nur 4647 indizierten "suspicious-open-dir".
Auch bei der Verwendung des Kennzeichens "Suspicious-Open-Dir" kommt es zu einigen Fehlalarmen, z. B. bei leeren Verzeichnissen.
Ein leeres Verzeichnis, das als verdächtig gekennzeichnet ist
Mögliche Kriterien für die "Suspicious-Open-Dir"-Kennzeichnung
Versuchen wir herauszufinden, welche Logik hinter dieser neuen Bezeichnung steckt und wie sie sich von der Bezeichnung "open-dir" unterscheidet.
Verwenden wir zunächst die Abfrage :
|
labels: "open-dir" und labels: "c2″.
|
Ich kombiniere diese Bezeichnungen, denn wenn Sie ein offenes Verzeichnis sehen, das auf demselben Server wie ein C2 gehostet wird, ist die Wahrscheinlichkeit groß, dass es für etwas Böses verwendet wird.
Die zurückgegebenen Ergebnisse sind viel kleiner, mit 81 C2 mit Open-Dir-Servern und nur 26 unter dem Label "suspicious-open-dir". Dies erleichtert uns den Vergleich der Unterschiede zwischen den beiden Kennzeichnungen.
Ein Blick auf die Dateinamen dieser Server mit den Bezeichnungen "C2" und "open-dir" zeigt nichts Verdächtiges. Es besteht jedoch immer die Möglichkeit, dass die Dateinamen absichtlich umbenannt wurden, um nicht entdeckt zu werden, und dass es sich tatsächlich um Malware oder Hacker-Tools handelt.
Screenshots von Verzeichnissen mit der Bezeichnung "open-dir".
Wenn wir uns die Dateien mit den Kennzeichnungen "C2" und "suspicious-open-dir" ansehen, stellen wir fest, dass einige sehr verdächtige (und einige geradezu bösartige) Dateien gehostet werden.
Screenshots von Verzeichnissen mit der Kennzeichnung "suspicious-open-dir".
Außerdem habe ich festgestellt, dass viele Server, die als verdächtig eingestuft werden, Proxy- und Tunneling-Tools wie V2Ray, Shadowsocks und Fast Reverse Proxy hosten. Man könnte meinen, dass diese Dateinamen auch ein Grund dafür sein könnten, dass ein Verzeichnis als verdächtig eingestuft wird.
Bei der Entscheidung, ein offenes Verzeichnis als verdächtig zu kennzeichnen, werden möglicherweise noch andere Faktoren berücksichtigt. Aus dieser einfachen Abfrage geht jedoch hervor, dass diese Kennzeichnung auf Verzeichnisse angewendet wird, die Dateinamen enthalten, von denen bekannt ist, dass sie für bösartige Zwecke verwendet werden.
Fallbeispiele
Beispiel 1: Ein Verzeichnis, das auf Schwachstellen in Adobe ColdFusion und RDweb-Servern abzielt
Mit der Kennzeichnung "suspicious-open-dir" stoßen wir auf ein Verzeichnis, das die Brute Ratel C2-Software und mehrere Exploits enthält, insbesondere eines, das auf Adobe ColdFusion abzielt.
"suspicious-open-dir" mit Exploits für Adobe ColdFusion-Schwachstellen
Wir haben ein Python-Skript gefunden, das auf die Sicherheitslücken in Adobe ColdFusion abzielt. Sobald es erfolgreich ausgenutzt wurde, kann der Angreifer Dateien lesen oder Befehle auf dem kompromittierten Server ausführen.
Python-Skript zur Massenausnutzung von Servern mit Adobe ColdFusion-Schwachstellen
Darüber hinaus fanden wir eine "output.txt" mit Protokollen von Verbindungsversuchen zu mehreren IP-Adressen über 8500, die üblicherweise von Adobe ColdFusion verwendet werden. Dies sieht nach einem möglichen Brute-Force-Versuch durch diesen speziellen Bedrohungsakteur aus. Glücklicherweise sind alle Verbindungen fehlgeschlagen.
Mehrere Verbindungsversuche zu IPs mit Adobe ColdFusion
Unabhängig davon finden wir mehrere Protokolldateien, die IP-Adressen von Servern enthalten, auf denen Microsoft RDWeb aktiviert ist. Außerdem sehen wir eine Kennwortliste, die für den Brute-Force-Versuch auf den RDWeb-aktivierten Servern verwendet worden sein könnte.
Passwortliste neben einem Protokoll der mehrfachen Anmeldeversuche bei RDWeb-aktivierten Servern
Beispiel 2: Ein Verzeichnis, das in eine mögliche Phishing-Kampagne verwickelt ist
Dies ist ein interessantes offenes Verzeichnis und wurde ursprünglich von Gi7w0rm auf Twitter berichtet. Hier finden wir 2 Webseiten, die eine Google-Anmeldeseite sowie die "Touch N Go"-Website zu emulieren scheinen.
"suspicious-open-dir" mit Phishing-Webseiten
Eine .html-Datei, die die Google-Anmeldeseite emuliert
Eine .html-Datei, die die "Touch N Go"-Website emuliert
Obwohl die "Touch N Go"-Website voller defekter Links ist, erhalten wir beim Anklicken der "Erfahren Sie mehr"- oder "Erste Schritte"-Website eine Meldung, dass die Schaltfläche angeklickt wurde.
Bei der Durchsicht der anderen Dateien stießen wir auf einen Ordner mit dem Titel "Awareness" und eine Textdatei mit einigen Anmeldedaten, die von den Opfern der Phishing-Website stammen könnten. Es sieht so aus, als ob der Angreifer die früheren Anmeldedaten verwendet hat, um zu überprüfen, ob seine Fähigkeiten zum Passwortdiebstahl funktionieren, bevor er die Phishing-Website einrichtet.
Diese Details lassen vermuten, dass es sich um eine Phishing-Übung zur Sensibilisierung der Benutzer gehandelt haben könnte. Wenn dies jedoch der Fall ist, ist es eine äußerst schlechte betriebliche Sicherheit, die Anmeldedaten der gefälschten Benutzer in einem offenen Verzeichnis zu speichern, auf das jeder zugreifen kann.
Zwei verschiedene Sätze von Anmeldeinformationen im Abstand von zwei Tagen
Beispiel 3: Ein Verzeichnis mit Python-Skripten für illegales Monero-Mining und eine einzigartige C2-Server-Benutzeroberfläche
In diesem offenen Verzeichnis finden wir eine Menge bösartig klingender Python-Skripte, die Teil des "Build Your Own Botnet"-Frameworks sind. Es gibt auch XMRig-Binärdateien für MacOS, Linux und Windows. XMRig ist ein Open-Source-Mining-Programm, das speziell für das Mining von Monero (XMR) entwickelt wurde. Er wird manchmal von böswilligen Akteuren missbraucht, um illegale Mining-Operationen auf kompromittierten Systemen durchzuführen.
"suspicious-open-dir" mit einem C2-Framework und Cryptominer
Python Keylogger als Teil des Build Your Own Botnet Frameworks
Neben dem bösartigen offenen Verzeichnis sehen wir auch ein "Device Dashboard" auf Port 5000, das zufällig wie eine Web-UI für einen C2-Server aussieht.
Anscheinend eine Web-UI für die Verwaltung der gefährdeten Hosts
Dies sieht aus wie die Web-UI für das "Build Your Own Botnet"-Framework.
Schnittstelle zur Überprüfung, welche Opfer mit dem C2 kommunizieren
Schnittstelle zum Hoch- und Herunterladen von Dateien zwischen dem C2-Server und seinen Opfern
Schnittstelle zur Erstellung von Nutzdaten für mehrere Betriebssysteme
Wenn man sich die Dateien in diesem offenen Verzeichnis ansieht, scheint es so, als ob dieser Bedrohungsakteur sein Botnet erstellen möchte, um möglicherweise Kryptowährung zu farmen.
Schlussfolgerung
Die Einführung der Kennzeichnung "suspicious-open-dir" hat die Anzahl der offenen Verzeichnisse, die die Forscher durchgehen müssen, erheblich reduziert. Durch die Reduzierung von 393k Ergebnissen auf etwa 4,5k Ergebnisse ist es viel einfacher geworden, sich auf Verzeichnisse zu konzentrieren, die mit größerer Wahrscheinlichkeit bösartig sind.
Ich freue mich auf zukünftige Verbesserungen des Algorithmus, der für diese Kennzeichnung verwendet wird, und darauf, dass er ein Stadium erreicht, in dem er sogar "bösartiges offenes Verzeichnis" mit nahezu 100-prozentiger Genauigkeit identifizieren kann. Andere Metriken wie bekannte bösartige IPs, kugelsichere Hosting-ASNs und sogar TLS-Zertifikate, die mit anderen bekannten bösartigen Infrastrukturen übereinstimmen, könnten verwendet werden, um eine Wahrscheinlichkeitsskala der Bösartigkeit zu verbessern oder zu erstellen.
Censys Dokumentation
Ein Leitfaden für Anfänger zur Jagd auf bösartige offene Verzeichnisse
Vereinfachen Sie die Untersuchung von Bedrohungen: Identifizieren Sie verdächtige offene Verzeichnisse mit Censys Search
Ich empfehle jedem, dieses Label auszuprobieren und all die coolen und interessanten Dinge, die ihr findet, mit dem Rest der Censys Community zu teilen.
Mehr von Gastautor Jeremy Fernandez finden Sie auf Medium und LinkedIn!
