Introducción
Censys ha introducido recientemente mejoras en su etiqueta "open-dir" y ha lanzado su "suspicious-open-dir". Anteriormente, sólo disponíamos de la etiqueta "open-dir", que permite a los investigadores y otros usuarios descubrir todos los directorios abiertos indexados.
Los directorios abiertos son esencialmente servidores de archivos que permiten el acceso a cualquiera sin autenticación. Suelen alojar una gran variedad de archivos, incluidos ejecutables, documentos e imágenes.
Un ejemplo de directorio abierto de alojamiento de libros electrónicos
Son muy populares entre los actores de amenazas, ya que pueden utilizarse para distribuir malware fácilmente. Y, desde un punto de vista OPSEC, no se vincularán a su servidor C2 real.
Múltiples exploits y herramientas maliciosas se alojan en un directorio abierto
Desafíos en el uso de la etiqueta "Open-Dir" para identificar contenidos maliciosos
Objetivo y limitaciones
Antes, cuando buscábamos directorios abiertos, sólo teníamos la etiqueta "open-dir". Esto nos mostraba todos los servidores con un directorio abierto, independientemente de su contenido. Esto permitía a los investigadores encontrar información interesante que, de otro modo, podría pasar desapercibida.
Sin embargo, el principal reto de esta etiqueta es que carece de contexto y Censys ha indexado cerca de 400k directorios abiertos. Se trata de un gran número de directorios en los que buscar cualquier actividad sospechosa, lo que dificulta la búsqueda de los auténticos maliciosos.
Aunque los investigadores suelen combinar varias consultas, este enfoque no elimina por completo todos los falsos positivos.
En el pasado, solía combinar estas consultas para intentar orientar mejor mi búsqueda de directorios abiertos maliciosos:
| labels: "open-dir" y labels: "c2″. |
| etiquetas: "open-dir" y etiquetas: "phishing" |
| labels:”open-dir” and services.http.response.body:”<keyword>“ |
Algunas de mis palabras clave favoritas son "payload" y "exploit". Aunque estas consultas no garantizan una tasa de aciertos del 100%, ayudan a reducir la cantidad de falsos positivos.
Censys ha abordado el reto introduciendo la nueva etiqueta "Suspicious-Open-Dir" (directorio abierto sospechoso), que facilita considerablemente la búsqueda de directorios abiertos maliciosos.
Introducción de la etiqueta "Suspicious-Open-Dir
Finalidad y funcionalidad
La etiqueta "suspicious-open-dir" filtra los directorios abiertos a aquellos considerados sospechosos por Censys, aunque no necesariamente sean maliciosos. Al utilizar esta nueva etiqueta, nos quedamos con aproximadamente el 1% de los 393.000 resultados originales. Esto facilita significativamente la tarea de buscar contenidos maliciosos. Tenga en cuenta que los servidores etiquetados con "suspicious-open-dir" tendrán automáticamente la etiqueta "open-dir".
393k "open-dir" indexados frente a sólo 4647 "suspicious-open-dir" indexados
Seguimos encontrando un par de falsos positivos incluso cuando se utiliza la etiqueta "Suspicious-Open-Dir", como directorios vacíos.
Un directorio vacío etiquetado como sospechoso
Posibles criterios para etiquetar como "directorio abierto sospechoso
Intentemos descubrir la lógica de esta nueva etiqueta y en qué se diferencia de la etiqueta "open-dir".
En primer lugar, utilicemos la consulta :
|
labels: "open-dir" y labels: "c2″.
|
Combino estas etiquetas porque si ves un directorio abierto alojado en el mismo servidor que un C2, hay muchas posibilidades de que se utilice para algo malicioso.
Los resultados devueltos son mucho más pequeños, con 81 C2 con servidores open-dir y sólo 26 bajo la etiqueta sospechoso-open-dir. Esto nos facilita la comparación de las diferencias entre ambas etiquetas.
Si se observan los nombres de archivo de esos servidores con las etiquetas "C2" y "open-dir" no se ve nada sospechoso. Sin embargo, siempre cabe la posibilidad de que los nombres de los archivos hayan sido renombrados a propósito para evitar su detección y que se trate efectivamente de malware o herramientas de hackers.
Capturas de pantalla de directorios con la etiqueta "open-dir
Si nos fijamos en los que tienen las etiquetas "C2" y "sospechoso-open-dir", vemos que se alojan algunos archivos muy sospechosos (y algunos francamente maliciosos).
Capturas de pantalla de directorios con la etiqueta "directorio-abierto-sospechoso
Además, también descubrí que muchos de los servidores etiquetados como sospechosos alojan herramientas de proxy y tunelización como V2Ray, Shadowsocks y Fast Reverse Proxy. Podría parecer que esos nombres de archivo también pueden ser una razón para que un directorio sea marcado como sospechoso.
Puede haber otros factores que se tengan en cuenta a la hora de decidir etiquetar un directorio abierto como sospechoso. Sin embargo, a partir de esta simple consulta, parece que esta etiqueta se aplica a los directorios que contienen nombres de archivo que se sabe que se utilizan con fines maliciosos.
Ejemplos de casos
Ejemplo 1: Un directorio dirigido a vulnerabilidades de Adobe ColdFusion y servidores RDweb
Utilizando la etiqueta "sospechoso-abierto-dir", nos encontramos con un directorio que contiene el software Brute Ratel C2 y múltiples exploits, en particular uno dirigido a Adobe ColdFusion.
"suspicious-open-dir" con exploits dirigidos a vulnerabilidades de Adobe ColdFusion
Hemos encontrado un script Python que tiene como objetivo las vulnerabilidades de Adobe ColdFusion. Una vez explotado con éxito, el atacante podrá leer archivos o ejecutar comandos en el servidor comprometido.
Script en Python que realiza explotaciones masivas en servidores con vulnerabilidades de Adobe ColdFusion
Además de esto, también encontramos un "output.txt" con registros de intentos de conexión a múltiples direcciones IP por encima de 8500, comúnmente utilizadas por Adobe ColdFusion. Esto parece un posible intento de fuerza bruta por parte de este actor de amenazas en particular. Afortunadamente, parece que todas las conexiones fallaron.
Múltiples intentos de conexión a IPs con Adobe ColdFusion
Por separado, encontramos múltiples archivos de registro que contienen direcciones IP de servidores que tienen Microsoft RDWeb habilitado. Además, vemos una lista de contraseñas que podrían haber sido utilizadas para el intento de fuerza bruta en los servidores con RDWeb habilitado.
Lista de contraseñas junto a un registro de múltiples intentos de inicio de sesión en servidores habilitados para RDWeb.
Ejemplo 2: Un directorio implicado en una posible campaña de phishing
Este es un directorio abierto interesante y fue cubierto originalmente por Gi7w0rm en Twitter. Aquí, encontramos 2 páginas web que parecen emular una página de inicio de sesión de Google, así como el sitio web "Touch N Go".
"directorio-abierto-sospechoso" que contiene páginas web de phishing
Un archivo .html emulando la página de inicio de sesión de Google
Un archivo .html que emula el sitio web "Touch N Go
Aunque el sitio web de "Touch N Go" está lleno de enlaces rotos, cuando hacemos clic en "Más información" o "Empezar" recibimos un aviso que indica que se ha hecho clic en el botón.
Al examinar los demás archivos, encontramos una carpeta titulada "Awareness" y un archivo de texto que contiene un par de credenciales que podrían ser de las víctimas del sitio web de phishing. Al parecer, el atacante podría haber utilizado el conjunto de credenciales anterior para validar que sus capacidades de robo de contraseñas eran funcionales antes de desplegar el sitio web de phishing.
Estos detalles sugieren que podría tratarse de un ejercicio de phishing para concienciar a los usuarios. Sin embargo, si ese es el caso, almacenar las credenciales de tus usuarios suplantados en un directorio abierto al que todo el mundo pueda acceder es una medida de seguridad operativa muy deficiente.
Dos conjuntos diferentes de credenciales registradas con dos días de diferencia
Ejemplo 3: Un directorio con scripts Python para la minería ilícita de Monero y una interfaz de usuario de servidor C2 única
En este directorio abierto, vemos un montón de scripts Python que suenan maliciosos y que forman parte del Framework "Build Your Own Botnet". También hay binarios XMRig para MacOS, Linux y Windows. XMRig es un minero de código abierto diseñado específicamente para minar Monero (XMR). A veces es utilizado por actores maliciosos para llevar a cabo operaciones de minería ilegales en sistemas comprometidos.
"suspicious-open-dir" con un C2 Framework y Cryptominer
Python keylogger parte del marco Build Your Own Botnet
Además del directorio abierto malicioso, también vemos un "Device Dashboard" en el puerto 5000 que parece una interfaz de usuario web para un servidor C2.
Lo que parece ser una interfaz web para la gestión de hosts comprometidos
Esto parece la interfaz de usuario web para el marco "Construye tu propia botnet".
Interfaz para comprobar qué víctimas se comunican con el C2
Interfaz para cargar y descargar archivos entre el servidor C2 y sus víctimas
Interfaz para crear cargas útiles para varios sistemas operativos
Mirando los archivos de este directorio abierto, parece que este actor de amenazas en particular está buscando crear su botnet para posiblemente cultivar criptomonedas.
Conclusión
La introducción de la etiqueta "directorio-abierto-sospechoso" ha filtrado significativamente la cantidad de directorios abiertos que los investigadores tienen que revisar. La reducción de 393.000 resultados a aproximadamente 4,5.000 ha facilitado en gran medida la selección de los directorios con más probabilidades de ser maliciosos.
A medida que avancen las cosas, espero futuras mejoras en el algoritmo utilizado para esta etiqueta, y que llegue a una etapa en la que incluso pueda identificar "malicious-open-dir" con una precisión cercana al 100%. Otras métricas como IPs maliciosas conocidas, ASNs de alojamiento a prueba de balas, e incluso certificados TLS que coincidan con otras infraestructuras maliciosas conocidas podrían utilizarse para mejorar o quizás proporcionar una escala de probabilidad de malicia.
Censys Documentación
Guía para principiantes sobre la caza de directorios abiertos maliciosos
Simplifique las investigaciones sobre amenazas: Identifique directorios abiertos sospechosos con Censys Search
Recomiendo encarecidamente a todo el mundo que pruebe esta etiqueta y comparta todas las cosas interesantes que encuentre con el resto de la comunidad deCensys .
Más información sobre el autor invitado Jeremy Fernandez en Medium y LinkedIn.
