بات نت AndroxGh0st
CISA و FBI به طور مشترک هشداری را در مورد فعالیت عاملان تهدید استفاده از بدافزار Androxgh0st، که به طور فعال در حال ساخت یک بات نت با تمرکز خاص بر سرقت اعتبارنامه های ابری هستند، صادر کرده اند. این بازیگران بدخواه از اطلاعات جمع آوری شده برای استقرار محموله های مضر اضافی استفاده می کنند. این بات نت که در ابتدا توسط محققان امنیت سایبری در سال 2022 شناسایی شد، در آن زمان کنترل بیش از 40000 دستگاه را به دست آورده بود.
روش کار این بات نت شامل اسکن برای آسیب پذیری در وب سایت ها و سرورهای مستعد اجرای کد از راه دور (RCE) است. به طور مشخص، عوامل تهدید آسیبپذیریهای خاصی را هدف قرار میدهند، یعنی CVE-2017-9841 (مرتبط با چارچوب تست واحد PHPUnit)، CVE-2021-41773 (مرتبط با سرور HTTP Apache) و CVE-2018-15133 (مربوط به لاراول). چارچوب وب PHP). بدافزار Androxgh0st با بهرهبرداری از این آسیبپذیریها، دسترسی غیرمجاز را تسهیل میکند و سرقت اعتبارنامههای ابری را امکانپذیر میسازد که خطر امنیت سایبری قابل توجهی را به همراه دارد.
بدافزار AndroxGh0st داده های حساس دستگاه های خراب را هدف قرار می دهد
Androxgh0st، یک بدافزار اسکریپت پایتون، در اصل برای هدف قرار دادن فایلهای env که اطلاعات محرمانه را ذخیره میکنند، طراحی شده است، از جمله اعتبار برای برنامههای کاربردی با مشخصات بالا مانند خدمات وب آمازون (AWS)، مایکروسافت آفیس 365، SendGrid و Twilio در چارچوب برنامههای وب لاراول. .
این بدافزار دارای عملکردهای مختلفی است که امکان سوء استفاده از پروتکل انتقال نامه ساده (SMTP) را فراهم می کند. این میتواند اعتبارنامههای افشا شده و رابطهای برنامهنویسی کاربردی (API) را اسکن کرده و از آن استفاده کند و همچنین پوستههای وب را مستقر کند. به خطر افتادن اعتبارنامه های Twilio و SendGrid به عوامل تهدید اجازه می دهد تا کمپین های هرزنامه را سازماندهی کنند و جعل هویت شرکت های نقض شده را نشان دهند.
بسته به کاربرد آن، AndroxGh0st دو عملکرد اصلی را در برابر اعتبارنامه های به دست آمده نشان می دهد. موردی که بیشتر مشاهده می شود شامل بررسی محدودیت ارسال ایمیل حساب در معرض خطر برای تعیین مناسب بودن آن برای اهداف ارسال هرزنامه است.
مهاجمان همچنین ایجاد صفحات جعلی را در وبسایتهای در معرض خطر نشان دادهاند و یک درب پشتی برای دسترسی به پایگاههای اطلاعاتی حاوی اطلاعات حساس ایجاد کردهاند. این دسترسی برای استقرار ابزارهای تهدید کننده اضافی که برای عملیات آنها حیاتی است استفاده می شود. در مواردی که اعتبارنامههای AWS با موفقیت شناسایی شده و در وبسایتهای آسیبپذیر در معرض خطر قرار میگیرند، مهاجمان تلاش کردهاند تا کاربران و سیاستهای کاربر جدیدی ایجاد کنند.
علاوه بر این، اپراتورهای Andoxgh0st از اعتبارنامه های سرقت شده برای شروع نمونه های جدید AWS استفاده می کنند و به آنها اجازه می دهد تا اهداف آسیب پذیر اضافی را در سراسر اینترنت به عنوان بخشی از عملیات جاری خود اسکن کنند.
چگونه از حملات احتمالی بدافزار Andoxgh0st جلوگیری کنیم؟
برای کاهش تأثیر حملات بدافزار Androxgh0st و به حداقل رساندن خطر به خطر افتادن، به مدافعان شبکه توصیه می شود اقدامات زیر را اجرا کنند:
- سیستم ها را به روز نگه دارید : اطمینان حاصل کنید که همه سیستم عامل ها، نرم افزارها و سیستم عامل ها به طور منظم به روز می شوند. به طور خاص، بررسی کنید که سرورهای آپاچی نسخه های 2.4.49 یا 2.4.50 را اجرا نمی کنند.
- پیکربندی URI : تأیید کنید که پیکربندی پیشفرض برای همه شناسههای منبع یکنواخت (URI) طوری تنظیم شده است که همه درخواستها را رد کند، مگر اینکه نیاز مشخص و موجهی برای دسترسی وجود داشته باشد.
- تنظیمات برنامه لاراول : اطمینان حاصل کنید که برنامه های لاراول زنده در حالت "اشکال زدایی" یا تست نیستند. اعتبارنامه های ابری را از فایل های .env حذف کرده و آنها را باطل کنید. بررسی یکباره اعتبارنامههای ابری ذخیرهشده قبلی را انجام دهید و بررسیهای مداومی را برای انواع دیگر اعتبارنامههایی که قابل حذف نیستند انجام دهید.
- اسکن سیستم فایل : سیستم فایل سرور را برای فایلهای PHP ناشناخته اسکن کنید، با توجه ویژه به دایرکتوری ریشه و پوشه /vendor/phpunit/phpunit/src/Util/PHP.
- درخواستهای GET خروجی : درخواستهای GET خروجی، بهویژه آنهایی که از دستورات cURL استفاده میکنند را برای سایتهای میزبان فایل مانند GitHub یا Pastebin بررسی کنید. هنگامی که درخواست به یک فایل php. دسترسی پیدا می کند، توجه ویژه ای داشته باشید.
CISA کاتالوگ آسیب پذیری های شناخته شده خود را بر اساس شواهدی از بهره برداری فعال به روز کرده است. CVE-2018-15133 Laravel deserialization آسیب پذیری داده های غیرقابل اعتماد اضافه شد، در حالی که CVE-2021-41773 Apache HTTP Server traversal و CVE-2017-9841 PHPUnit آسیب پذیری های تزریق به ترتیب در فوریه 21 و 2020 نوامبر 20 گنجانده شدند. هدف این افزودنی ها افزایش آگاهی و اقدامات پیشگیرانه سریع در برابر آسیب پذیری های شناخته شده مرتبط با Androxgh0st است.