Androxgh0st, Kritik Verileri Çıkarmak İçin SMTP Hizmetlerinden Yararlanıyor


AndroxGh0st, özellikle Laravel uygulamalarını hedef alan bir kötü amaçlı yazılımdır. Kötü amaçlı yazılım, AWS ve Twilio'ya bağlı oturum açma kimlik bilgilerini tarar ve .env dosyalarından çıkarır.

AndroxGh0st, kimlik bilgilerinin kullanılması, web kabuğu dağıtımı ve güvenlik açığı taraması gibi çeşitli stratejiler kullanarak SMTP'den yararlandığı için daha önce bir SMTP korsanı olarak sınıflandırılıyordu.

Ancak kötü amaçlı yazılımın asıl amacı ana bilgisayarların güvenliğini tehlikeye atmak ve Laravel uygulamalarından kritik verileri çıkarmaktır. Kötü amaçlı yazılımın uyarlanabilir bir doğası ve başka birçok yeteneği vardır.

Androxgh0st SMTP'yi İstismar Ediyor

Juniper'in raporlarına göre kötü amaçlı yazılım, tüm işlevsellik ve özelliklerini vurgulayan menü seçenekleriyle birlikte geliyor.

Kötü amaçlı yazılımda awslimitcheck, sengridcheck, twilio_sender, istismar ve diğerleri gibi çeşitli seçenekler mevcuttur.

Bu seçeneklerin farklı kullanımları ve yetenekleri vardır.

Menü seçenekleri (Kaynak: Ardıç)

“awslimitcheck”, AWS hesap sınırlarını ve e-posta gönderme kotalarına ilişkin diğer bilgileri kontrol etmek için kullanılabilir.

sendgridcheck seçeneği, SendGrid API anahtarıyla ilgili önemli ayrıntıları kontrol etmek ve raporlamak için tasarlanmıştır.

Bu API anahtarı ayrıca toplam e-posta kredisi, kullanılan kredi ve SendGrid hesabıyla ilişkili 'Posta adresi' gibi ayrıntıları toplamak için de kullanılabilir”.

Twilio_sender işlevi, Twilio API aracılığıyla SMS mesajları göndermek için kullanılabilir ve ayrıca Twilio hesap durumunu ve bakiyesini kontrol eder ve önceden tanımlanmış bir numaraya test SMS'i göndermek için kullanılabilir.

Exploit işlevi, belirli bir URI'ye hazırlanmış bir POST isteği göndererek rastgele bir PHP kodunu yürütmek için PHP birim test çerçevesini hedeflemek için kullanılır.

Üstelik kötü amaçlı yazılım, Laravel web uygulamalarıyla ilişkili üç kritik güvenlik açığından da yararlanıyor.

Bu güvenlik açıklarına yönelik CVE'ler CVE-2017-9841, CVE-2018-15133 ve CVE-2021-41773'tür.

Saldırı Akışı (Kaynak: Ardıç)

Saldırı zinciri, Apache'deki bir zayıflık olan CVE-2021-41773'ü kullanarak savunmasız sisteme girmekle başlar.

Bunu takiben kötü amaçlı yazılım, kod yürütmek ve hedeflenen sistemde kalıcı kontrol oluşturmak için CVE-2017-9841 ve CVE-2018-15133'ten yararlanıyor.

Bir Saldırganın Zorlukları

Her ne kadar bu kötü amaçlı yazılım farklı kullanımlar için bu farklı işlevleri sağlasa da, bir tehdit aktörünün bu eylemleri hedeflenen sistemlerde gerçekleştirmesinde hala birçok zorluk bulunmaktadır.

Awslimitcheck işlevinin başarılı bir şekilde yürütülmesi için geçerli AWS kimlik bilgileri, Boto3 kitaplığı ve AWS SES'in (Basit E-posta Hizmeti) doğru yapılandırılması gerekir.

sendgridcheck işlevi geçerli bir SendGrid API anahtarı gerektirir. Ek olarak, API anahtarının gerekli bilgileri alabilmesi için gerekli izne de sahip olması gerekir.

Twilio_sender seçeneği geçerli bir Twilio hesabı, Auth token ve bilgi almak ve SMS göndermek için yeterli bakiyeye sahip bir Twilio telefon numarası gerektirir.

Exploit seçeneği, başarılı bir şekilde yararlanılabilmesi için hedef sistemde PHPUnit güvenlik açığının bulunmasını gerektirir.

Ayrıca tehdit aktörünün, savunmasız URI hakkında bilgi sahibi olması ve mevcut güvenlik önlemlerini atlayacak bir veri yükü oluşturması gerekir.

Ayrıca, başarılı bir şekilde yararlanmanın doğrulanması, sunucu günlüklerine ve diğer izleme mekanizmalarına erişim gerektirir.

Kötü amaçlı yazılım, CVE-2017-9841, CVE-2018-15133 ve CVE-2021-41773'e sahip sistemlerin güvenliğini aşmayı başarırsa veri ihlalleri ve ağ kesintileri olasılığı vardır.

.env isteğinden alınan günlükler (Kaynak: Juniper)

Uzlaşma Göstergeleri

Dosya Örnekleri

  • f6f240dc2d32bfd83b49025382dc0a1cf86dba587018de4cd96df16197f05d88 – AndroxGhost python örneği
  • 3b04f3ae4796d77e5a458fe702612228b773bbdefbb64f20d52c574790b5c81a – AndroxGhost python örneği

Linux Madencileri

  • 23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066 – Linux Miner düştü
  • 6b5846f32d8009e6b54743d6f817f0c3519be6f370a0917bf455d3d114820bbc – Linux Miner bırakıldı
  • bb7070cbede294963328119d1145546c2e26709c5cea1d876d234b991682c0b7 – Linux madencisi düştü

PHP Web Kabuğu

  • ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72 – PHP Web Kabuğu
  • 0df17ad20bf796ed549c240856ac2bf9ceb19f21a8cae2dbd7d99369ecd317ef – PHP Web Kabuğu

EN İYİ IP – Saldırı Kaynaklı

  • 103.121.39[.]54
  • 185.16.39[.]37
  • 155.138.245[.]246
  • 149.50.102[.]48
  • 45.143.200[.]14
  • 45.135.232[.]19
  • 45.129.14[.]224
  • 91.92.245[.]67
  • 64.225.6[.]114
  • 122.189.200[.]188
  • 66.135.11[.]147
  • 155.248.212[.]175
  • 118.31.17[.]168
  • 45.135.232[.]28
  • 77.90.185[.]106
  • 194.26.135[.]68
  • 218.107.208[.]71
  • 172.98.33[.]153
  • 5.255.115[.]40
  • 45.134.26[.]85
  • 180.101.88[.]225
  • 180.101.88[.]237
  • 80.66.76[.]80
  • 83.97.73[.]76
  • 91.240.118[.]221
  • 91.240.118[.]228
  • 109.123.229[.]56
  • 213.109.202[.]210
  • 213.109.202[.]145
  • 180.101.88[.]230
  • 180.101.88[.]220
  • 103.96.40[.]38
  • 128.199.237[.]61
  • 173.199.117[.]55
  • 62.20441[.]80
  • 77.83.36[.]40
  • 103.255.191[.]43
  • 213.109[.]202.167
  • 141[.]98.11.107
  • 162.0[.]234.118
  • 91.240.118[.]224
  • 185.248[.]2476
  • 185.161.248[.]148
  • 38.175.192[.]78
  • 176.113.115[.]220
  • 77.90.185[.]102
  • 80.66.66[.]225
  • 200.54.189[.]98
  • 185.234.216[.]125
  • 176.113.115[.]184

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.





Source link