僵尸網絡對互聯網進行大規模掃描以尋找不安全的 ENV 文件

威脅者正在尋找通常存儲在ENV文件中的API令牌，密碼和數據庫登錄名。

在過去的兩年中，多個威脅者幾乎沒有引起自己的注意，他們花費了三年的時間對互聯網進行大規模掃描，以查找意外上傳并暴露在Web服務器上的ENV文件。

ENV文件或環境文件是開發工具通常使用的一種配置文件。

諸如Docker，Node.js，Symfony和Django之類的框架使用ENV文件來存儲環境變量，例如API令牌，密碼和數據庫登錄名。

由于它們保存的數據的性質，ENV文件應始終存儲在受保護的文件夾中。

SecurityJoes的首席安全分析師Daniel Bunce說:“我可以想象僵尸網絡正在掃描這些文件，以找到存儲的憑證，這將允許攻擊者與數據庫交互，如Firebase，或AWS實例等。”

Bunce補充說：“如果攻擊者能夠訪問私有API密鑰，他們可能會濫用該軟件。”

僅本月，就有超過1,100臺ENV掃描儀處于活動狀態

應用程序開發人員經常收到有關惡意僵尸網絡掃描GIT配置文件或意外在線上傳的SSH私鑰的警告，但是對ENV文件的掃描與前兩次一樣普遍。

超過2800個不同的IP地址已經被用來掃描ENV文件，在過去的三年中，有超過1100臺掃描儀是活躍在過去一個月內，據安全廠商Greynoise。

不管怎樣，這里列出了使用@GreyNoiseIO: https : //t.co/pYBXhX6VZN在整個互聯網上抓取.env文件的每個IP地址

GNQL: web.paths:".env" https://t.co/mrDYSjswWV pic.twitter.com/LppKdJ5lce

— Andrew Morris (@Andrew___Morris) November 17, 2020

威脅情報公司Bad Packets也記錄了類似的掃描，該公司過去一年一直在Twitter上跟蹤最常見的掃描ENV文件路徑。

185.234.218.174（??）正在Internet上掃描以下路徑：
/admin-app/.env
/api/.env
/app/.env
/apps/.env
/back/.env
/core/.env
/ cp /.env
/development/.env
/docker/.env
/fedex/.env
/local/.env
/private/.env
/rest/.env
/shared/.env
/sources/.env
/system/.env
。。。pic.twitter.com/vIBDk7Wbnl

-Bad Packets（@bad_packets）2020年2月19日

識別ENV文件的威脅參與者最終將下載文件，提取任何敏感憑據，然后破壞公司的后端基礎結構。

這些后續攻擊的最終目標可以是從盜竊知識產權和商業機密，到勒索軟件攻擊或安裝隱藏的加密采礦惡意軟件。

建議開發人員進行測試，看看他們的應用程序的ENV文件是否可以在線訪問，然后保護任何意外暴露的ENV文件。對于公開的ENV文件，還必須更改所有令牌和密碼。