SentinelLabs, die Forschungsabteilung von SentinelOne, hat mehrere Versionen von AlienFox analysiert, einem Toolkit, das die Anmeldedaten mehrerer Cloud-E-Mail-Dienste anvisiert. Es ist hochgradig modular und wird regelmäßig weiterentwickelt. Die meisten Tools sind quelloffen, das heißt die Akteure können es leicht an ihre Bedürfnisse anpassen und verändern. Viele Bedrohungsakteure haben an verschiedenen Versionen der Tools mitgearbeitet, und die Entwicklung wiederkehrender Funktionen lässt darauf schließen, dass die Entwickler ihre Angriffstechniken stetig verbessern.
Die Akteure verwenden AlienFox, um Listen von falsch konfigurierten Hosts von Sicherheitsscan-Plattformen wie LeakIX und SecurityTrails zu sammeln. Sie verwenden mehrere Skripte im Toolset, um sensible Informationen wie API-Schlüssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, die auf den Webservern der Opfer liegen.
Spätere Versionen des Toolsets fügten Skripte hinzu, wodurch diese Aktionen unter Verwendung der gestohlenen Anmeldedaten automatisiert werden, darunter:
- Einrichten von Amazon Web Services (AWS)-Kontenpersistenz und Privilegieneskalation
- Sammeln von Sendequoten und Automatisieren von Spam-Kampagnen über Opferkonten oder -dienste
Zielgruppen
Es handelt sich dabei um eine Kombination von Tools, die auf eine Vielzahl von Webdiensten abzielen, obwohl das übergreifenden Themen für das Toolset Cloud-basierte und Software-as-a-Service (SaaS) E-Mail-Hosting-Dienste sind. Die aktuellen Beobachtungen deuten darauf hin, dass AlienFox in erster Linie opportunistisch vorgeht. Die Akteure nutzen Server-Fehlkonfigurationen im Zusammenhang mit beliebten Web-Frameworks, darunter Laravel, Drupal, Joomla, Magento, Opencart, Prestashop und WordPress.
Wenn ein anfälliger Server identifiziert wird, analysiert der Akteur die offengelegten Umgebungs- oder Konfigurationsdateien, in denen sensible Informationen wie aktivierte Dienste und die zugehörigen API-Schlüssel und Geheimnisse gespeichert sind. Die Sicherheitsforscher fanden Skripte auf Token und Geheimnisse unter anderem von:
- 1und1
- AWS SES
- Google Workspace
- Microsoft 365
Versionierung
Die Techniken des Tools und ihre Organisation sind von Version zu Version unterschiedlich. Bislang wurden die AlienFox-Versionen 2 bis 4 identifiziert, die ab Februar 2022 datiert sind. Mehrere analysierte Skripte wurden zu den Malware-Familien Androxgh0st und GreenBot (alias Maintance) zusammengefasst. Wie feststellt werden konnte, sind die Skripte in offenen Quellen wie GitHub leicht verfügbar, was eine ständige Anpassung und Variation in freier Wildbahn ermöglicht.
AlienFox V2
Version 2 ist das älteste der bekannten AlienFox-Toolsets und konzentriert sich in erster Linie auf die Extraktion von Anmeldeinformationen aus Webserver-Konfigurations- oder Umgebungsdateien. Das von uns analysierte Archiv enthält die Ausgaben eines Akteurs, der die Tools ausgeführt hat, darunter AWS-Zugangs- und Geheimschlüssel. In dieser Version des AlienFox-Toolsets ist das Kerndienstprogramm in einem Skript namens s3lr.py untergebracht, das dem in späteren Versionen beschriebenen env.py ähnlich ist.
Empfehlungen
Um sich gegen AlienFox-Tools zu schützen, sollten Unternehmen bewährte Verfahren für die Konfigurationsverwaltung anwenden und das Prinzip der geringsten Privilegien einhalten. Der Einsatz einer Cloud Workload Protection Platform (CWPP) auf virtuellen Maschinen und Containern sollte in Betracht gezogen werden, um interaktive Aktivitäten mit dem Betriebssystem zu erkennen.
Da Aktivitäten wie Brute-Force- oder Passwort-Spray-Versuche von bestimmten Dienstanbietern möglicherweise nicht protokolliert werden, wird die Überwachung von Folgeaktionen, einschließlich der Erstellung neuer Konten oder Dienstprofile, empfohlen – insbesondere solcher mit hohen Berechtigungen. Zudem sollten auf Plattformen der Unternehmen, die neu hinzugefügte E-Mail-Adressen überprüft werden.
Fazit
Das AlienFox-Toolset zeigt eine weitere Stufe in der Entwicklung der Internetkriminalität in der Cloud. Cloud-Dienste verfügen über gut dokumentierte, leistungsstarke APIs, die es Entwicklern aller Qualifikationsstufen ermöglichen, problemlos Tools für den Dienst zu schreiben. Das Toolset wurde nach und nach durch verbesserte Codierungspraktiken und die Hinzufügung neuer Module und Funktionen verbessert.
Opportunistische Cloud-Angriffe sind nicht mehr nur auf Kryptomining beschränkt: Die AlienFox-Tools erleichtern Angriffe auf minimale Dienste, die nicht über die für das Mining erforderlichen Ressourcen verfügen. Bei der Analyse der Tools und der Tool-Ausgaben konnte festgestellt werden, dass die Akteure AlienFox verwenden, um Dienstanmeldeinformationen von falsch konfigurierten oder ungeschützten Diensten zu identifizieren und zu sammeln. Für die Opfer kann eine Kompromittierung zu zusätzlichen Servicekosten, Vertrauensverlust bei den Kunden und Kosten für die Behebung des Problems führen.
www.sentinelone.com