Androxgh0st攻击美国:黑客通过旧漏洞成功部署Web shell

阅读量68557

发布时间 : 2024-01-18 11:03:26

FBI 和 CISA 发布紧急警告称,Python 恶意软件不会泄露企业机密。

攻击者正在利用多年来已知的漏洞来部署 Androxgh0st 恶意软件并创建僵尸网络来窃取云凭据。这是由联邦调查局 (FBI) 和美国网络安全和基础设施安全局 ( CISA ) 报道的。

在 1 月 16 日发布的联合警报 中,这些机构表示,Python 恶意软件主要针对包含 AWS、Microsoft Office 365、SendGrid 和 Twilio 用户凭证的“.env”文件。

除了扫描和利用被盗凭证之外,Androxgh0st 还可用于部署 Web shell、远程执行代码、窃取敏感数据以及创建新的 AWS 用户和实例。

举例来说,如果易受攻击网站上的 AWS 凭证被成功泄露,攻击者会尝试创建新用户以及自定义策略。Androxgh0st 操作员被发现创建新的 AWS 实例来进行额外的扫描。

Androxgh0st 分发背后的攻击者更喜欢三个已发布补丁很长时间的旧漏洞: CVE-2017-9841 (PHPUnit 中的命令注入漏洞)、 CVE-2018-15133 (Laravel Web 应用程序中的不安全反序列化漏洞)远程执行代码)和 CVE-2021-41773 (Apache HTTP Server 中的路径遍历漏洞,也导致远程代码执行)。

CVE-2017-9841 允许通过恶意 HTTP POST 请求远程执行 PHP 代码,并将文件下载到托管受感染网站的系统。攻击者可以设置一个虚假页面来提供该网站的后门,使他们能够下载其他恶意文件并访问数据库。

该恶意软件还会扫描可访问“.env”文件的 Laravel 网站,并发送 GET 或 POST 请求以窃取凭据和令牌。

第三种方法利用 Apache HTTP Server 版本 2.4.49 或 2.4.50 中允许路径遍历攻击的漏洞。攻击者扫描不受“请求全部拒绝”配置保护且未启用通用网关接口 (CGI) 脚本的 URL。这允许进行远程代码执行攻击。

这些机构发布的安全警报还包括 Androxgh0st 可能受到损害的迹象列表。FBI 和 CISA 提供了多种降低感染风险的措施。

一种策略是确保 Apache 服务器不运行易受攻击的版本 2.4.49 或 2.4.50。检查所有 URL 的默认配置是否拒绝任何请求也很重要,除非有合法的访问理由。

此外,建议定期检查在“.env”文件中列出凭据的平台和服务,并检查它们是否未经授权使用。

好吧,最后的建议一如既往,及时更新操作系统、设备固件和其他使用的软件,但是,从长期已知的漏洞的利用可以看出,很少有人在实践中应用这个建议。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66