今天小編分享的互聯網經驗:威脅組織利用Androxgh0st惡意軟體收集雲憑據,歡迎閱讀。
近日,美國聯邦調查局(FBI)與網絡安全和基礎設施安全局(CISA)發布聯合公告說道,有威脅組織在部署僵屍網絡,利用 Androxgh0st 惡意軟體大搞破壞。這個惡意軟體能夠收集雲憑據(比如 AWS 或微軟 Azure 等雲服務的憑據),濫用簡單郵件傳輸協定(SMTP),并掃描查找亞馬遜簡單電子郵件服務(ASES)參數。
Androxgh0st 惡意軟體簡介
2022 年 12 月,雲安全公司 Lacework 率先披露了 Androxgh0st 惡意軟體。該惡意軟體是用 Python 編寫的,主要用于竊取 Laravel.env 檔案,而這個檔案含有常見應用程式的憑據之類的秘密信息。幾個類似工具受到該惡意軟體的啟發,比如 AlienFox、GreenBot(即 Maintance)、Legion 和 Predator。比如說,可能将應用程式和平台(比如 AWS、Microsoft Office 365、SendGrid 或 Twilio)集成到 Laravel 框架,所有應用程式的秘密信息都存儲在這個 .env 檔案中。
Laravel 是一種開源 PHP Web 應用程式框架,許多開發人員使用該框架處理常見的 Web 開發任務,無需從零開始編寫低級代碼。Laravel.env 檔案之所以是一種很常見的攻擊目标,是由于它們常常含有憑據及其他信息,攻擊者可以利用這些信息來訪問及濫用高價值應用程式,比如 AWS、Microsoft 365 和 Twilio。
僵屍網絡搜索使用 Laravel web 應用程式框架的網站,随後确定其網域名的根級 .env 檔案是否暴露,是否含有訪問其他服務的數據。.env 檔案中的數據可能是用戶名、密碼、令牌或其他憑據。
這不是該惡意代碼實施的第一次重大活動;去年 3 月,網絡安全公司飛塔公布了 Androxgh0st 的遙測數據,遙測數據顯示超過 40000 台設備被這個僵屍網絡感染(見圖 1)。
圖 1. 被 Androxgh0st 感染的設備數量(圖片來源:飛塔)
FBI/CISA 的聯合公告聲稱:"Androxgh0st 惡意軟體還支持許多能夠濫用簡單郵件傳輸協定(SMTP)的功能,比如掃描和利用暴露的憑據和應用編程接口(API)以及 web shell 部署環境。"
Androxgh0st 惡意軟體如何利用舊漏洞
Androxgh0st 可以訪問 Laravel 應用程式密鑰。如果該密鑰暴露并且可以訪問,攻擊者将嘗試使用它,對作為 XSRF-TOKEN 變量值傳遞給網站的 PHP 代碼進行加密。這是試圖利用一些版本的 Laravel web 應用程式框架中的 CVE-2018-15133 漏洞,一旦得逞,攻擊者就可以遠程上傳檔案到網站。CISA 将這個 CVE-2018-15133 Laravel 不可信數據反序列化漏洞添加到了其已知利用漏洞目錄中。
安全研究人員還發現部署 Androxgh0st 的威脅組織利用了 CVE-2017-9841,這是 PHP 測試框架 PHPUnit 中的一個漏洞,允許攻擊者在網站上執行遠程代碼。CVE-2021-41773 也被利用,Apache HTTP 伺服器中的這個漏洞允許攻擊者在網站上執行遠程代碼。
Androxgh0st 惡意軟體發送垃圾郵件的目的
2022 年,acework 觀察到的近三分之一的重大安全事件被認為是為了實施發送垃圾郵件或惡意電子郵件的活動,其中大部分活動是由 Androxgh0st 造成的。
該惡意軟體有多項功能可以濫用 SMTP,包括掃描亞馬遜的簡單電子郵件服務發送配額,可能是為了将來用于發送垃圾郵件。
圖 2
如何防範 Androxgh0st 惡意軟體威脅
CISA 和 FBI 的聯合公告建議大家采取以下做法:
•确保所有作業系統、軟體和固件是最新版本。尤其是 Apache 伺服器必須是最新版本。正如本文所提,攻擊者仍然能夠觸發一個在 2021 年打過補丁的 Apache Web 伺服器漏洞。
•确認所有 URI 的默認配置都是拒絕訪問,除非明确需要從互聯網來訪問它。
•确保 Laravel 應用程式沒有配置成在調試或測試模式下運行。
•從 .env 檔案中删除所有雲憑據,并撤銷它們。正如 CISA 和 FBI 所述:" 所有雲提供商都有更安全的方式,可以向 web 伺服器内運行的代碼提供臨時的、頻繁輪換的憑據,無需将其存儲在任何檔案中。"
•檢查任何使用 .env 檔案進行未經授權訪問或使用的平台或服務。
•搜索未知或無法識别的 PHP 檔案;如果 web 伺服器在使用 PHPUnit,尤其要搜索 web 伺服器的根檔案夾和 /vendor/phpunit/phpunit/src/Util/PHP 檔案夾中的 PHP 檔案。
•檢查向檔案托管平台(比如 GitHub 和 Pastebin)發出的 GET 請求,尤其是當請求訪問 .php 檔案時。
此外,建議檢查任何新創建的用戶是否存在任何受影響的服務,因為已經觀察到 Androxgh0st 創建用于其他掃描活動的新 AWS 實例。具體就 AWS 而言,該惡意軟體可以掃描并解析 AWS 密鑰,另外還能夠為蠻力攻擊創建密鑰。洩密的 AWS 憑據随後可用于創建新的用戶和用戶策略。
我們必須在所有端點和伺服器上部署安全解決方案,保證可以檢測到任何可疑活動。企業 IT 部門應該盡可能在所有服務上部署多因素身份驗證,以避免被擁有有效憑據的攻擊者破壞。