12. April 2023 it-daily.net

AlienFox unter der Lupe

SentinelLabs, die Forschungsabteilung von SentinelOne, hat mehrere Versionen von AlienFox analysiert, einem Toolkit, das die Anmeldedaten mehrerer Cloud-E-Mail-Dienste anvisiert. [...]

Foto: MohamedHassan/Pixabay

Es ist hochgradig modular und wird regelmäßig weiterentwickelt. Die meisten Tools sind quelloffen, das heißt die Akteure können es leicht an ihre Bedürfnisse anpassen und verändern. Viele Bedrohungsakteure haben an verschiedenen Versionen der Tools mitgearbeitet, und die Entwicklung wiederkehrender Funktionen lässt darauf schließen, dass die Entwickler ihre Angriffstechniken stetig verbessern.

Die Akteure verwenden AlienFox, um Listen von falsch konfigurierten Hosts von Sicherheitsscan-Plattformen wie LeakIX und SecurityTrails zu sammeln. Sie verwenden mehrere Skripte im Toolset, um sensible Informationen wie API-Schlüssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, die auf den Webservern der Opfer liegen. 

Spätere Versionen des Toolsets fügten Skripte hinzu, wodurch diese Aktionen unter Verwendung der gestohlenen Anmeldedaten automatisiert werden, darunter:

  • Einrichten von Amazon Web Services (AWS)-Kontenpersistenz und Privilegieneskalation
  • Sammeln von Sendequoten und Automatisieren von Spam-Kampagnen über Opferkonten oder -dienste

Zielgruppen

Es handelt sich dabei um eine Kombination von Tools, die auf eine Vielzahl von Webdiensten abzielen, obwohl das übergreifenden Themen für das Toolset Cloud-basierte und Software-as-a-Service (SaaS) E-Mail-Hosting-Dienste sind.

Die aktuellen Beobachtungen deuten darauf hin, dass AlienFox in erster Linie opportunistisch vorgeht. Die Akteure nutzen Server-Fehlkonfigurationen im Zusammenhang mit beliebten Web-Frameworks, darunter Laravel, Drupal, Joomla, Magento, Opencart, Prestashop und WordPress. 

Wenn ein anfälliger Server identifiziert wird, analysiert der Akteur die offengelegten Umgebungs- oder Konfigurationsdateien, in denen sensible Informationen wie aktivierte Dienste und die zugehörigen API-Schlüssel und Geheimnisse gespeichert sind. Die Sicherheitsforscher fanden Skripte auf Token und Geheimnisse unter anderem von:

  • 1und1
  • AWS SES
  • Google Workspace
  • Microsoft 365

Versionierung

Die Techniken des Tools und ihre Organisation sind von Version zu Version unterschiedlich. Bislang wurden die AlienFox-Versionen 2 bis 4 identifiziert, die ab Februar 2022 datiert sind.

Mehrere analysierte Skripte wurden zu den Malware-Familien Androxgh0st und GreenBot (alias Maintance) zusammengefasst. Wie feststellt werden konnte, sind die Skripte in offenen Quellen wie GitHub leicht verfügbar, was eine ständige Anpassung und Variation in freier Wildbahn ermöglicht. 

AlienFox V2

Version 2 ist das älteste der bekannten AlienFox-Toolsets und konzentriert sich in erster Linie auf die Extraktion von Anmeldeinformationen aus Webserver-Konfigurations- oder Umgebungsdateien. Das von uns analysierte Archiv enthält die Ausgaben eines Akteurs, der die Tools ausgeführt hat, darunter AWS-Zugangs- und Geheimschlüssel.

In dieser Version des AlienFox-Toolsets ist das Kerndienstprogramm in einem Skript namens s3lr.py untergebracht, das dem in späteren Versionen beschriebenen env.py ähnlich ist.

Empfehlungen

Um sich gegen AlienFox-Tools zu schützen, sollten Unternehmen bewährte Verfahren für die Konfigurationsverwaltung anwenden und das Prinzip der geringsten Privilegien einhalten. Der Einsatz einer Cloud Workload Protection Platform (CWPP) auf virtuellen Maschinen und Containern sollte in Betracht gezogen werden, um interaktive Aktivitäten mit dem Betriebssystem zu erkennen. 

Da Aktivitäten wie Brute-Force- oder Passwort-Spray-Versuche von bestimmten Dienstanbietern möglicherweise nicht protokolliert werden, wird die Überwachung von Folgeaktionen, einschließlich der Erstellung neuer Konten oder Dienstprofile, empfohlen – insbesondere solcher mit hohen Berechtigungen. Zudem sollten auf Plattformen der Unternehmen, die neu hinzugefügte E-Mail-Adressen überprüft werden.

Fazit

Das AlienFox-Toolset zeigt eine weitere Stufe in der Entwicklung der Internetkriminalität in der Cloud. Cloud-Dienste verfügen über gut dokumentierte, leistungsstarke APIs, die es Entwicklern aller Qualifikationsstufen ermöglichen, problemlos Tools für den Dienst zu schreiben. Das Toolset wurde nach und nach durch verbesserte Codierungspraktiken und die Hinzufügung neuer Module und Funktionen verbessert.

Opportunistische Cloud-Angriffe sind nicht mehr nur auf Kryptomining beschränkt: Die AlienFox-Tools erleichtern Angriffe auf minimale Dienste, die nicht über die für das Mining erforderlichen Ressourcen verfügen.

Bei der Analyse der Tools und der Tool-Ausgaben konnte festgestellt werden, dass die Akteure AlienFox verwenden, um Dienstanmeldeinformationen von falsch konfigurierten oder ungeschützten Diensten zu identifizieren und zu sammeln. Für die Opfer kann eine Kompromittierung zu zusätzlichen Servicekosten, Vertrauensverlust bei den Kunden und Kosten für die Behebung des Problems führen.

www.sentinelone.com

powered by www.it-daily.net


Mehr Artikel

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

6. November 2024

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

News

Kunden vertrauen Unternehmen immer weniger

6. November 2024

Das Vertrauen von Verbraucher:innen in Unternehmen hat den niedrigsten Stand der letzten Jahre erreicht. Fast drei Viertel (72 Prozent) der Verbraucher:innen weltweit vertrauen Unternehmen weniger als noch vor einem Jahr. Als wichtigsten Grund geben 65 Prozent der Befragten in einer Umfrage von Salesforce an, dass Unternehmen leichtfertig mit den Daten ihrer Kund:innen umgehen. […]

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

5. November 2024 Christof Baumgartner

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

5. November 2024

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*