Исследователь случайно получил доступ к панели управления хакеров из-за незакрытого установщика

information security

Любопытство, проявленное при просмотре ленты в социальной сети, привело специалиста по кибербезопасности к неожиданному результату: он сумел войти в административную панель действующей инфраструктуры злоумышленников. Инцидент показал, насколько хрупкой бывает защита даже у активных вредоносных платформ.

Описание

Всё началось с обычной публикации в X (ранее Twitter). Исследователь, пожелавший остаться неназванным, заметил пост от одного из профильных сообществ. В нём содержались индикаторы компрометации - признаки, указывающие на подозрительный ресурс. Специалист регулярно проверяет такие данные и добавляет их в свою систему мониторинга. На первый взгляд сайт выглядел как очередной фальшивый портал для скачивания программ. Однако вместо того чтобы ограничиться поверхностным анализом, исследователь решил изучить приложение подробнее.

Он запустил перебор директорий с помощью утилиты ffuf. Результат оказался неожиданным: были обнаружены пути /admin/login.php, /config/database.php и /install/install.php. Последний особенно заинтересовал исследователя. Хотя сайт уже работал и раздавал вредоносные файлы, страница установки оставалась доступной. Специалист задался вопросом: блокирует ли система повторную инициализацию после первого развёртывания? Проверить это можно было только на практике.

Форма установки запрашивала параметры подключения к базе данных MySQL. Исследователь развернул собственный экземпляр MySQL в контейнере Docker и открыл к нему доступ с удалённого хоста. Затем он заполнил поля на странице /install/install.php и запустил процесс. К его удивлению, установка завершилась успешно. Приложение не проверило, было ли оно уже инициализировано, и позволило создать новую учётную запись администратора. Исследователь ввёл логин и пароль, после чего система создала таблицы в его собственной базе данных.

Сразу после завершения установки специалист попытался войти в панель управления. Однако вместо интерфейса он получил ошибку 500 Internal Server Error. Вероятно, возникло рассогласование между файлами приложения на сервере злоумышленников и новой базой данных. Исследователь отключил свой туннель и остановил контейнер MySQL. Через некоторое время сам домен также стал возвращать ошибку 500 - приложение пыталось подключиться к уже недоступной базе.

Спустя некоторое время сайт снова заработал. Злоумышленник, очевидно, заметил неполадку и восстановил подключение к своему исходному хранилищу данных. Исследователь вновь открыл вкладку браузера, где ранее была ошибка, и нажал "обновить". К его изумлению, панель управления загрузилась. Здесь сработала особенность PHP-приложений: состояние сессии хранится на сервере, а не в базе данных. Куки, сохранённые в браузере, по-прежнему были действительны, и система не потребовала повторной аутентификации.

Перед исследователем открылся полноценный административный интерфейс. Панель управления была на русском языке, но благодаря встроенному переводу Firefox удалось разобрать её содержимое. Специалист увидел главную страницу со статистикой, раздел ключевых слов, настройки, список посетителей и журнал скачиваний. Инфраструктура представляла собой простое PHP-приложение с MySQL и файловым хранилищем для размещения вредоносных архивов.

Анализ трафика показал, что злоумышленники используют промежуточные редиректоры. В некоторых случаях цепочка перенаправлений включала страницы Google Colab, прежде чем пользователь попадал на финальный сайт для скачивания. Сами страницы загрузки генерировались динамически в зависимости от параметров URL, хотя конечная цель всегда была одной - заставить жертву скачать сжатый архив с вредоносной программой.

Исследователь опубликовал отчёт о своей находке на платформе для кибербезопасности. В нём он отметил ключевые выводы: инфраструктура злоумышленников оказалась гораздо более уязвимой, чем можно было предположить. Открытая страница установки стала точкой входа в административную систему. Отсутствие проверки на повторную инициализацию - грубая ошибка развёртывания. Кроме того, приложение хранило сессии на сервере, а не в базе, что позволило сохранить доступ даже после смены хранилища данных.

Сам исследователь признаёт, что не смог надолго закрепиться в системе. Через некоторое время его сессия истекла, а злоумышленник, по всей видимости, обнаружил способ проникновения и исправил уязвимость. Страница /install/install.php перестала быть доступной. Инфраструктура продолжила работу, но сам случай дал редкую возможность заглянуть в устройство реальной платформы распространения вредоносных программ.

Подобные инциденты напоминают, что даже у злоумышленников случаются ошибки конфигурации. Любой незакрытый установщик, любая сессия без проверки могут стать лазейкой для внешнего наблюдателя. Для специалистов по защите информации этот случай - наглядный пример того, как простое любопытство и методичный перебор директорий способны превратить пассивную охоту за угрозами в практическое исследование живой атаки.

Индикаторы компрометации

Domains

  • micronsoftwares.com
  • wetransfer.icu

SHA256

  • 7b03fb383a5ce784a3cb9b0f8a76a84e984d14e553de5d98faff3d07d9793085

Комментарии: 0