近日，美國聯邦調查局（FBI）與網絡安全和基礎設施安全局（CISA）發布聯合公告說道，有威脅組織在部署僵尸網絡，利用Androxgh0st惡意軟件大搞破壞。這個惡意軟件能夠收集云憑據（比如AWS或微軟Azure等云服務的憑據），濫用簡單郵件傳輸協議（SMTP），并掃描查找亞馬遜簡單電子郵件服務（ASES）參數。

Androxgh0st惡意軟件簡介

2022年12月，云安全公司Lacework率先披露了Androxgh0st惡意軟件。該惡意軟件是用Python編寫的，主要用于竊取Laravel.env文件，而這個文件含有常見應用程序的憑據之類的秘密信息。幾個類似工具受到該惡意軟件的啟發，比如AlienFox、GreenBot（即Maintance）、Legion和Predator。比如說，可能將應用程序和平臺（比如AWS、Microsoft Office 365、SendGrid或Twilio）集成到Laravel框架，所有應用程序的秘密信息都存儲在這個.env文件中。

Laravel是一種開源PHP Web應用程序框架，許多開發人員使用該框架處理常見的Web開發任務，無需從零開始編寫低級代碼。Laravel.env文件之所以是一種很常見的攻擊目標，是由于它們常常含有憑據及其他信息，攻擊者可以利用這些信息來訪問及濫用高價值應用程序，比如AWS、Microsoft 365和Twilio。

僵尸網絡搜索使用Laravel web應用程序框架的網站，隨后確定其域名的根級.env文件是否暴露，是否含有訪問其他服務的數據。.env文件中的數據可能是用戶名、密碼、令牌或其他憑據。

這不是該惡意代碼實施的第一次重大活動；去年3月，網絡安全公司飛塔公布了Androxgh0st的遙測數據，遙測數據顯示超過40000臺設備被這個僵尸網絡感染（見圖1）。

圖1. 被Androxgh0st感染的設備數量（圖片來源：飛塔）

FBI/CISA的聯合公告聲稱：“Androxgh0st惡意軟件還支持許多能夠濫用簡單郵件傳輸協議（SMTP）的功能，比如掃描和利用暴露的憑據和應用編程接口（API）以及web shell部署環境。”

Androxgh0st惡意軟件如何利用舊漏洞

Androxgh0st可以訪問Laravel應用程序密鑰。如果該密鑰暴露并且可以訪問，攻擊者將嘗試使用它，對作為XSRF-TOKEN變量值傳遞給網站的PHP代碼進行加密。這是試圖利用一些版本的Laravel web應用程序框架中的CVE-2018-15133漏洞，一旦得逞，攻擊者就可以遠程上傳文件到網站。CISA將這個CVE-2018-15133 Laravel不可信數據反序列化漏洞添加到了其已知利用漏洞目錄中。

安全研究人員還發現部署Androxgh0st的威脅組織利用了CVE-2017-9841，這是PHP測試框架PHPUnit中的一個漏洞，允許攻擊者在網站上執行遠程代碼。CVE-2021-41773也被利用，Apache HTTP服務器中的這個漏洞允許攻擊者在網站上執行遠程代碼。

Androxgh0st惡意軟件發送垃圾郵件的目的

2022年，acework觀察到的近三分之一的重大安全事件被認為是為了實施發送垃圾郵件或惡意電子郵件的活動，其中大部分活動是由Androxgh0st造成的。

該惡意軟件有多項功能可以濫用SMTP，包括掃描亞馬遜的簡單電子郵件服務發送配額，可能是為了將來用于發送垃圾郵件。

圖2

如何防范Androxgh0st惡意軟件威脅

CISA和FBI的聯合公告建議大家采取以下做法：

?確保所有操作系統、軟件和固件是最新版本。尤其是Apache服務器必須是最新版本。正如本文所提，攻擊者仍然能夠觸發一個在2021年打過補丁的Apache Web服務器漏洞。

?確認所有URI的默認配置都是拒絕訪問，除非明確需要從互聯網來訪問它。

?確保Laravel應用程序沒有配置成在調試或測試模式下運行。

?從.env文件中刪除所有云憑據，并撤銷它們。正如CISA和FBI所述：“所有云提供商都有更安全的方式，可以向web服務器內運行的代碼提供臨時的、頻繁輪換的憑據，無需將其存儲在任何文件中。”

?檢查任何使用.env文件進行未經授權訪問或使用的平臺或服務。

?搜索未知或無法識別的PHP文件；如果web服務器在使用PHPUnit，尤其要搜索web服務器的根文件夾和/vendor/phpunit/phpunit/src/Util/PHP文件夾中的PHP文件。

?檢查向文件托管平臺（比如GitHub和Pastebin）發出的GET請求，尤其是當請求訪問.php文件時。

此外，建議檢查任何新創建的用戶是否存在任何受影響的服務，因為已經觀察到Androxgh0st創建用于其他掃描活動的新AWS實例。具體就AWS而言，該惡意軟件可以掃描并解析AWS密鑰，另外還能夠為蠻力攻擊創建密鑰。泄密的AWS憑據隨后可用于創建新的用戶和用戶策略。

我們必須在所有端點和服務器上部署安全解決方案，保證可以檢測到任何可疑活動。企業IT部門應該盡可能在所有服務上部署多因素身份驗證，以避免被擁有有效憑據的攻擊者破壞。

參考及來源：https://www.techrepublic.com/article/androxgh0st-malware-botnet/