威脅組織利用Androxgh0st惡意軟件收集雲憑據

近日，美國聯邦調查局（FBI）與網絡安全和基礎設施安全局（CISA）發布聯合公告說道，有威脅組織在部署僵屍網絡，利用 Androxgh0st 惡意軟件大搞破壞。這個惡意軟件能夠收集雲憑據（比如 AWS 或微軟 Azure 等雲服務的憑據），濫用簡單郵件傳輸協議（SMTP），并掃描查找亞馬遜簡單電子郵件服務（ASES）參數。

Androxgh0st 惡意軟件簡介

2022 年 12 月，雲安全公司 Lacework 率先披露了 Androxgh0st 惡意軟件。該惡意軟件是用 Python 編寫的，主要用于竊取 Laravel.env 文件，而這個文件含有常見應用程序的憑據之類的秘密信息。幾個類似工具受到該惡意軟件的啓發，比如 AlienFox、GreenBot（即 Maintance）、Legion 和 Predator。比如說，可能将應用程序和平台（比如 AWS、Microsoft Office 365、SendGrid 或 Twilio）集成到 Laravel 框架，所有應用程序的秘密信息都存儲在這個 .env 文件中。

Laravel 是一種開源 PHP Web 應用程序框架，許多開發人員使用該框架處理常見的 Web 開發任務，無需從零開始編寫低級代碼。Laravel.env 文件之所以是一種很常見的攻擊目标，是由于它們常常含有憑據及其他信息，攻擊者可以利用這些信息來訪問及濫用高價值應用程序，比如 AWS、Microsoft 365 和 Twilio。

僵屍網絡搜索使用 Laravel web 應用程序框架的網站，随後确定其域名的根級 .env 文件是否暴露，是否含有訪問其他服務的數據。.env 文件中的數據可能是用戶名、密碼、令牌或其他憑據。

這不是該惡意代碼實施的第一次重大活動；去年 3 月，網絡安全公司飛塔公布了 Androxgh0st 的遙測數據，遙測數據顯示超過 40000 台設備被這個僵屍網絡感染（見圖 1）。

圖 1. 被 Androxgh0st 感染的設備數量（圖片來源：飛塔）

FBI/CISA 的聯合公告聲稱："Androxgh0st 惡意軟件還支持許多能夠濫用簡單郵件傳輸協議（SMTP）的功能，比如掃描和利用暴露的憑據和應用編程接口（API）以及 web shell 部署環境。"

Androxgh0st 惡意軟件如何利用舊漏洞

Androxgh0st 可以訪問 Laravel 應用程序密鑰。如果該密鑰暴露并且可以訪問，攻擊者将嘗試使用它，對作爲 XSRF-TOKEN 變量值傳遞給網站的 PHP 代碼進行加密。這是試圖利用一些版本的 Laravel web 應用程序框架中的 CVE-2018-15133 漏洞，一旦得逞，攻擊者就可以遠程上傳文件到網站。CISA 将這個 CVE-2018-15133 Laravel 不可信數據反序列化漏洞添加到了其已知利用漏洞目錄中。

安全研究人員還發現部署 Androxgh0st 的威脅組織利用了 CVE-2017-9841，這是 PHP 測試框架 PHPUnit 中的一個漏洞，允許攻擊者在網站上執行遠程代碼。CVE-2021-41773 也被利用，Apache HTTP 服務器中的這個漏洞允許攻擊者在網站上執行遠程代碼。

Androxgh0st 惡意軟件發送垃圾郵件的目的

2022 年，acework 觀察到的近三分之一的重大安全事件被認爲是爲了實施發送垃圾郵件或惡意電子郵件的活動，其中大部分活動是由 Androxgh0st 造成的。

該惡意軟件有多項功能可以濫用 SMTP，包括掃描亞馬遜的簡單電子郵件服務發送配額，可能是爲了将來用于發送垃圾郵件。

圖 2

如何防範 Androxgh0st 惡意軟件威脅

CISA 和 FBI 的聯合公告建議大家采取以下做法：

•确保所有操作系統、軟件和固件是最新版本。尤其是 Apache 服務器必須是最新版本。正如本文所提，攻擊者仍然能夠觸發一個在 2021 年打過補丁的 Apache Web 服務器漏洞。

•确認所有 URI 的默認配置都是拒絕訪問，除非明确需要從互聯網來訪問它。

•确保 Laravel 應用程序沒有配置成在調試或測試模式下運行。

•從 .env 文件中删除所有雲憑據，并撤銷它們。正如 CISA 和 FBI 所述：" 所有雲提供商都有更安全的方式，可以向 web 服務器内運行的代碼提供臨時的、頻繁輪換的憑據，無需将其存儲在任何文件中。"

•檢查任何使用 .env 文件進行未經授權訪問或使用的平台或服務。

•搜索未知或無法識别的 PHP 文件；如果 web 服務器在使用 PHPUnit，尤其要搜索 web 服務器的根文件夾和 /vendor/phpunit/phpunit/src/Util/PHP 文件夾中的 PHP 文件。

•檢查向文件托管平台（比如 GitHub 和 Pastebin）發出的 GET 請求，尤其是當請求訪問 .php 文件時。

此外，建議檢查任何新創建的用戶是否存在任何受影響的服務，因爲已經觀察到 Androxgh0st 創建用于其他掃描活動的新 AWS 實例。具體就 AWS 而言，該惡意軟件可以掃描并解析 AWS 密鑰，另外還能夠爲蠻力攻擊創建密鑰。洩密的 AWS 憑據随後可用于創建新的用戶和用戶策略。

我們必須在所有端點和服務器上部署安全解決方案，保證可以檢測到任何可疑活動。企業 IT 部門應該盡可能在所有服務上部署多因素身份驗證，以避免被擁有有效憑據的攻擊者破壞。