Introduction
Censys a récemment apporté des améliorations à son label "open-dir" et a publié son "suspicious-open-dir". Auparavant, nous ne disposions que du label "open-dir", qui permet aux chercheurs et autres utilisateurs de découvrir tous les répertoires ouverts indexés.
Les répertoires ouverts sont essentiellement des serveurs de fichiers qui permettent l'accès à n'importe qui sans authentification. Ils hébergent souvent une variété de fichiers, y compris des exécutables, des documents et des images.
Un exemple d'annuaire ouvert d'hébergement ebooks
Ces serveurs sont populaires auprès des acteurs de la menace, car ils peuvent être utilisés pour distribuer facilement des logiciels malveillants. En outre, du point de vue de l'OPSEC, ils ne sont pas reliés à leur serveur C2 réel.
De multiples exploits et outils malveillants sont hébergés sur un répertoire ouvert.
Difficultés liées à l'utilisation du label "Open-Dir" pour l'identification des contenus malveillants
Objectif et limites
Auparavant, lorsque nous recherchions des répertoires ouverts, nous n'avions que l'étiquette "open-dir". Ce label affichait tous les serveurs possédant un répertoire ouvert, quel que soit son contenu. Cela permettait aux chercheurs de trouver des informations intéressantes qui auraient pu passer inaperçues.
Cependant, le principal problème de ce label est qu'il manque de contexte et que Censys a indexé près de 400 000 répertoires ouverts. Il s'agit d'un nombre considérable d'annuaires dans lesquels il faut rechercher toute activité suspecte, ce qui complique la recherche de véritables annuaires malveillants.
Bien que les chercheurs combinent souvent plusieurs requêtes, cette approche ne permet pas d'éliminer complètement tous les faux positifs.
Dans le passé, je combinais généralement ces requêtes pour essayer de mieux cibler ma recherche d'annuaires ouverts malveillants :
| labels : "open-dir" et labels : "c2″. |
| labels : "open-dir" et labels : "phishing" |
| labels:”open-dir” and services.http.response.body:”<keyword>“ |
Certains de mes mots-clés préférés sont "payload" et "exploit". Bien que ces requêtes ne garantissent pas un taux de réussite de 100 %, elles permettent de réduire le nombre de faux positifs.
Censys a relevé le défi en introduisant le nouveau label "Suspicious-Open-Dir", qui facilite considérablement la recherche de répertoires ouverts malveillants.
Introduction du label "Suspicious-Open-Dir" (répertoire ouvert suspect)
Objectif et fonctionnalité
L'étiquette "suspicious-open-dir" filtre les répertoires ouverts en fonction de ceux jugés suspects par Censys, bien qu'ils ne soient pas nécessairement malveillants. En utilisant cette nouvelle étiquette, il ne reste plus qu'environ 1 % des 393 000 résultats initiaux. Cela facilite considérablement la recherche de contenu malveillant. Notez que les serveurs étiquetés avec "suspicious-open-dir" auront automatiquement l'étiquette "open-dir".
393k indexés "open-dir" contre seulement 4647 indexés "suspicious-open-dir"
Nous rencontrons encore quelques faux positifs même en utilisant l'étiquette "Suspicious-Open-Dir", comme des répertoires vides.
Un répertoire vide étiqueté comme suspect
Critères possibles pour l'attribution d'un label "Suspicious-Open-Dir" (répertoire ouvert suspect)
Essayons de découvrir la logique qui sous-tend ce nouveau label et en quoi il diffère du label "open-dir".
Tout d'abord, utilisons la requête :
|
labels : "open-dir" et labels : "c2″.
|
Je combine ces étiquettes parce que si vous voyez un répertoire ouvert hébergé sur le même serveur qu'un C2, il y a de fortes chances qu'il soit utilisé pour quelque chose de malveillant.
Les résultats renvoyés sont beaucoup plus petits, avec 81 C2 avec des serveurs open-dir et seulement 26 sous le label suspicion-open-dir. Cela nous permet de comparer plus facilement les différences entre les deux labels.
L'examen des noms de fichiers de ces serveurs portant les étiquettes "C2" et "open-dir" ne révèle rien de suspect. Cependant, il est toujours possible que les noms de fichiers aient été volontairement renommés pour éviter d'être détectés et qu'il s'agisse en fait de logiciels malveillants ou d'outils de piratage.
Captures d'écran des répertoires portant l'étiquette "open-dir".
En examinant ceux qui portent les étiquettes "C2" et "suspicious-open-dir", nous constatons que quelques fichiers très suspects (voire carrément malveillants) sont hébergés.
Captures d'écran des répertoires portant l'étiquette "suspicious-open-dir".
En outre, j'ai également constaté que de nombreux serveurs qualifiés de suspects hébergent des outils de proxy et de tunneling tels que V2Ray, Shadowsocks et Fast Reverse Proxy. On pourrait penser que ces noms de fichiers peuvent également être à l'origine de l'identification d'un répertoire comme suspect.
D'autres facteurs peuvent entrer en ligne de compte lorsqu'il s'agit de qualifier un répertoire ouvert de suspect. Toutefois, d'après cette simple requête, il semble que cette étiquette soit appliquée aux répertoires qui contiennent des noms de fichiers connus pour être utilisés à des fins malveillantes.
Exemples de cas
Exemple 1 : Un répertoire ciblant les vulnérabilités d'Adobe ColdFusion et les serveurs RDweb
En utilisant le label "suspicious-open-dir", nous tombons sur un répertoire qui contient le logiciel Brute Ratel C2 et plusieurs exploits, notamment un qui cible Adobe ColdFusion.
"suspicious-open-dir" avec des exploits ciblant les vulnérabilités d'Adobe ColdFusion
Nous avons trouvé un script Python qui cible les vulnérabilités d'Adobe ColdFusion. Une fois exploité avec succès, l'attaquant sera en mesure de lire des fichiers ou d'exécuter des commandes sur le serveur compromis.
Script Python permettant l'exploitation massive de serveurs présentant des vulnérabilités dans Adobe ColdFusion
En outre, nous avons également trouvé un "output.txt" contenant des journaux de tentatives de connexions à plusieurs adresses IP supérieures à 8500, communément utilisées par Adobe ColdFusion. Cela ressemble à une tentative de force brute de la part de cet acteur de la menace. Heureusement, il semble que toutes les connexions aient échoué.
Tentatives multiples de connexion à des adresses IP avec Adobe ColdFusion
Par ailleurs, nous trouvons plusieurs fichiers journaux contenant des adresses IP de serveurs sur lesquels Microsoft RDWeb est activé. Nous trouvons également une liste de mots de passe qui pourrait avoir été utilisée pour la tentative de force brute sur les serveurs équipés de RDWeb.
Liste des mots de passe et journal des tentatives multiples de connexion aux serveurs compatibles avec RDWeb
Exemple 2 : Un répertoire impliqué dans une éventuelle campagne de phishing
Il s'agit d'un répertoire ouvert intéressant qui a été couvert à l'origine par Gi7w0rm sur Twitter. Ici, nous trouvons 2 pages web qui semblent émuler une page de connexion Google ainsi que le site web "Touch N Go".
"suspicious-open-dir" contenant des pages web de phishing
Un fichier .html émulant la page de connexion de Google
Un fichier .html émulant le site web "Touch N Go".
Bien que le site web "Touch N Go" soit truffé de liens brisés, lorsque nous cliquons sur le site web "En savoir plus" ou "Commencer", nous recevons un message indiquant que le bouton a été cliqué.
En examinant les autres fichiers, nous sommes tombés sur un dossier intitulé "Awareness" (sensibilisation) et sur un fichier texte contenant quelques informations d'identification qui pourraient provenir des victimes du site de phishing. Il semble que les premières informations d'identification aient été utilisées par l'attaquant pour s'assurer que ses capacités de vol de mot de passe étaient fonctionnelles avant de déployer le site web de phishing.
Ces détails suggèrent qu'il pourrait s'agir d'un exercice d'hameçonnage destiné à sensibiliser les utilisateurs. Toutefois, si tel est le cas, le fait de stocker les informations d'identification des utilisateurs victimes de phishing dans un répertoire ouvert auquel tout le monde peut accéder constitue une très mauvaise sécurité opérationnelle.
Deux séries différentes d'informations d'identification enregistrées à deux jours d'intervalle
Exemple 3 : Un répertoire contenant des scripts Python pour l'extraction illicite de Monero et une interface utilisateur unique pour le serveur C2
Dans ce répertoire ouvert, on trouve de nombreux scripts Python malveillants qui font partie du cadre "Build Your Own Botnet" (Construisez votre propre réseau de zombies). Il y a également des binaires XMRig pour MacOS, Linux et Windows. XMRig est un mineur open-source spécialement conçu pour l'extraction de Monero (XMR). Il est parfois utilisé de manière abusive par des acteurs malveillants pour mener des opérations minières illégales sur des systèmes compromis.
"suspicious-open-dir" avec un C2 Framework et un Cryptominer
Le keylogger Python fait partie du cadre Build Your Own Botnet (Construisez votre propre réseau de zombies)
Outre le répertoire ouvert malveillant, nous voyons également un "Device Dashboard" sur le port 5000 qui ressemble à une interface web pour un serveur C2.
Ce qui semble être une interface web pour la gestion des hôtes compromis
Cela ressemble à l'interface web du Framework "Build Your Own Botnet".
Interface permettant de vérifier quelles victimes communiquent avec le C2
Interface de téléchargement de fichiers entre le serveur C2 et ses victimes
Interface permettant de créer des charges utiles pour plusieurs systèmes d'exploitation
En examinant les fichiers de ce répertoire ouvert, il semble que cet acteur de la menace cherche à créer son réseau de zombies pour éventuellement cultiver des crypto-monnaies.
Conclusion
L'introduction du label "suspicious-open-dir" a permis de filtrer de manière significative le nombre de répertoires ouverts que les chercheurs doivent examiner. La réduction de 393 000 résultats à environ 4,5 000 résultats a permis de se concentrer sur les répertoires les plus susceptibles d'être malveillants.
Au fur et à mesure que les choses avancent, j'attends avec impatience les améliorations futures de l'algorithme utilisé pour ce label, et qu'il atteigne un stade où il pourrait même identifier "malicious-open-dir" avec une précision proche de 100 %. D'autres mesures telles que les IP malveillantes connues, les ASN d'hébergement à toute épreuve et même les certificats TLS qui correspondent à d'autres infrastructures malveillantes connues pourraient être utilisées pour améliorer ou peut-être fournir une échelle de probabilité de la malveillance.
Censys Documentation
Guide du débutant pour la chasse aux annuaires ouverts malveillants
Simplifiez les enquêtes sur les menaces : Identifier les répertoires ouverts suspects grâce à la recherche Censys
J'encourage vivement tout le monde à essayer ce label et à partager toutes les choses intéressantes que vous trouvez avec le reste de la communautéCensys .
Retrouvez l'auteur invité Jeremy Fernandez sur Medium et LinkedIn !
