据Sentinel实验室的参与分析AlienFox的研究人员称,该工具可以针对流行服务中常见的在线托管框架,比如Laravel、Drupal、Joomla、Magento、Opencart、Prestashop和WordPress进行攻击。分析师们还发现了三个版本的AlienFox,这表明该工具包的作者正在积极开发和改进这个恶意工具。
AlienFox是一个模块化的工具集,分别由不同作者创建的各种定制工具以及各种修改过的开源程序组成。威胁者在安全扫描平台(如LeakIX和SecurityTrails)上用它来收集利用配置错误的云服务器。
然后,AlienFox会使用数据提取脚本搜索配置错误的服务器,寻找那些通常用于存储秘钥的敏感配置文件,如API密钥、账户凭证和认证令牌。
1and1、AWS、Bluemail、Exotel、Google Workspace、Mailgun、Mandrill、Nexmo、Office365、OneSignal、Plivo、Sendgrid、Sendinblue、Sparkpostmail、Tokbox、Twilio、Zimbra和Zoho都是该工具的攻击目标。工具包中还包含了单独的脚本,用于在易受攻击的服务器上建立持久联系并提升权限。
据SentinelLabs称,在野发现的该工具的第一个版本是AlienFox v2,其主要目的是网络服务器配置和环境文件的分析利用。然后,该恶意软件对这些文件进行解析并获取凭证,然后试图在目标服务器上使用Paramiko Python库进行SSH连接。
AlienFox v2还包含一个python脚本(awses.py),该脚本可以自动在AWS SES(简单电子邮件服务)上发送和接收信息,以及对被攻击的AWS账户进行长时间的高权限的访问。最后,AlienFox 2.0还包含了对CVE-2022-31279的利用功能,这个漏洞是Laravel PHP框架中的一个反序列化漏洞。
AlienFox v3增加了从Laravel环境中自动提取密钥和其他敏感信息的功能。该工具包的第三个版本,通过使用初始化的变量、包含模块化函数的Python类以及进程线程,极大的提高了工具的性能。
AlienFox v4目前是最新的版本,它对代码进行了大量的改进,并对脚本插件进行了扩展。这一版的恶意软件的功能很强大,它对WordPress、Joomla、Drupal、Prestashop、Magento和Opencart进行攻击,其中还包含了一个亚马逊零售网站的账户检查器,以及一个针对比特币和以太坊的加密货币钱包种子破解器。
新的"钱包破解器"脚本表明,AlienFox的开发者希望扩大该工具的客户群体或增强该工具的功能,并确保现有客户进行持续的订阅。
管理员必须确保他们的服务器配置了适当的访问控制、文件权限,并删除了不必要的服务,以防止这种不断变化的威胁。此外,尽量使用MFA(多因素认证)以及实时监测账户上的任何异常或可疑活动,这些都可以帮助管理员早期发现入侵的行为。
参考及来源:https://www.cysecurity.news/2023/03/this-new-alienfox-toolkit-steals.html