{"id":279521,"date":"2023-04-11T06:54:19","date_gmt":"2023-04-11T04:54:19","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279521"},"modified":"2023-04-11T07:38:55","modified_gmt":"2023-04-11T05:38:55","slug":"alienfox-toolkit-zur-kompromittierung-von-e-mail-und-webhosting-diensten-in-der-cloud","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/11\/alienfox-toolkit-zur-kompromittierung-von-e-mail-und-webhosting-diensten-in-der-cloud\/","title":{"rendered":"AlienFox: Toolkit zur Kompromittierung von E-Mail- und Webhosting-Diensten in der Cloud"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/04\/11\/alienfox-toolkit-to-compromise-email-and-web-hosting-services-in-the-cloud\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]AlienFox ist ein Toolkit zur Kompromittierung von E-Mail- und Webhosting-Diensten. Dieses Toolkit ist hochgradig modular, liegt in mehreren Versionen vor und versucht Fehlkonfigurationen in der Cloud auszunutzen, um die Anmeldedaten f\u00fcr Dienste wie AWS, Microsoft 365, Google Workspace, 1und1 etc. abzugreifen. Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von <a href=\"https:\/\/www.sentinelone.com\/\" target=\"_blank\" rel=\"nofollow noopener\">SentinelOne<\/a>, haben mehrere Versionen von AlienFox analysiert und stellen ihre Erkenntnisse zur Verf\u00fcgung. Unternehmen sollten sich entsprechend wappnen und sich vor Angriffen durch das Toolkit sch\u00fctzen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/bf29459acced4851a1393a4e51379762\" alt=\"\" width=\"1\" height=\"1\" \/>Die Analyse ergab, dass das Toolkit hochgradig modular ist und regelm\u00e4\u00dfig weiterentwickelt wird, um die Anmeldedaten mehrerer Cloud-E-Mail-Dienste anvisieren und dann abgreifen zu k\u00f6nnen. Interessant ist, dass die meisten Tools aus dem Toolkit quelloffen sind. Dies bietet den Akteuren die M\u00f6glichkeit, diese leicht zu ver\u00e4ndern und an ihre Bed\u00fcrfnisse anzupassen. Viele Bedrohungsakteure haben an verschiedenen Versionen der Tools mitgearbeitet, und die Entwicklung wiederkehrender Funktionen l\u00e4sst darauf schlie\u00dfen, dass die Entwickler ihre Angriffstechniken stetig verbessern.<\/p>\n<h2>Ziel: Falsch konfigurierte Hosts finden<\/h2>\n<p>SentinelLabs schreibt, dass die Akteure das AlienFox Toolkit verwenden, um Listen von falsch konfigurierten Hosts von Sicherheitsscan-Plattformen wie <em>LeakIX<\/em> und <em>SecurityTrails<\/em> zu sammeln. Sie verwenden mehrere Skripte im Toolset, um sensible Informationen wie API-Schl\u00fcssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, die auf den Webservern der Opfer liegen.<\/p>\n<blockquote><p><em>LeakIX <\/em>ist eine in Belgien entwickelte webbasierte, Suchmaschine, die alle Dienste und Webanwendungen auf IPv4 und jetzt auch auf IPv6 indiziert und \u00e4hnlich wie Shodan arbeitet. Die Plattform erm\u00f6glicht Sicherheitsforschern (aber auch Thread-Akteuren) das Internet nach Diensten mit Schwachstellen oder falscher Konfigurierung zu durchsuchen. Pentesting hat <a href=\"https:\/\/pentestmag.com\/looking-at-active-cyber-threats-with-leakix\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> einen \u00dcbersichtsartikl zu LeakIX ver\u00f6ffentlicht.<\/p>\n<p><em>SecurityTrails<\/em> erm\u00f6glicht es Sicherheitsforschern, aktuelle und historische Daten (IP- und DNS-Historie, Domain-, SSL- und Open Port-Informationen) f\u00fcr beliebige Internet-Assets zu untersuchen. Beide Plattformen sind also legitime Projekte, die von Sicherheitsforschern f\u00fcr ihre Analysen verwendet werden, aber auch von Thread-Akteuren missbraucht werden k\u00f6nnen.<\/p><\/blockquote>\n<p>Laut SentinelLabs verwenden sp\u00e4tere Versionen des Toolsets Skripte, die den Akteuren erm\u00f6glichen, bestimmte Aktionen unter Verwendung der gestohlenen Anmeldedaten zu automatisieren. Dazu geh\u00f6ren:<\/p>\n<ul>\n<li>Einrichten von Amazon Web Services (AWS)-Kontenpersistenz und Privilegieneskalation<\/li>\n<li>Sammeln von Sendequoten und Automatisieren von Spam-Kampagnen \u00fcber Opferkonten oder -dienste<\/li>\n<\/ul>\n<p>Das AlienFox-Toolkit ist also quasi so etwas wie das \"Schweizer-Messer\" f\u00fcr Cyberkriminelle, um ihre Aktionen automatisiert abzuwickeln und Opfer anzugreifen.<\/p>\n<h2>Breite Zielgruppen f\u00fcr AlienFox<\/h2>\n<p>Das AlienFox Toolkit kombiniert Tools, die auf eine Vielzahl von Webdiensten abzielen. Das \u00fcbergreifende Thema hei\u00dft aber: Fokussierung auf Cloud-basierte und Software-as-a-Service (SaaS) E-Mail-Hosting-Dienste.<\/p>\n<p>Die aktuellen Beobachtungen von SentinelLabs deuten darauf hin, dass AlienFox in erster Linie opportunistisch (also der Lage angepasst) vorgeht. Die Akteure nutzen Server-Fehlkonfigurationen im Zusammenhang mit beliebten Web-Frameworks, darunter Laravel, Drupal, Joomla, Magento, Opencart, Prestashop und WordPress.<\/p>\n<p>Wird ein anf\u00e4lliger Server identifiziert, analysiert der Akteur die offengelegten Umgebungs- oder Konfigurationsdateien, in denen sensible Informationen wie aktivierte Dienste und die zugeh\u00f6rigen API-Schl\u00fcssel und weitere vertrauliche Informationen gespeichert sind. Die Sicherheitsforscher fanden Skripte, die auf das Abgreifen von Token und anderen vertraulichen Daten von Diensten wie:<\/p>\n<ul>\n<li>1und1<\/li>\n<li>AWS SES<\/li>\n<li>Google Workspace<\/li>\n<li>Microsoft 365<\/li>\n<\/ul>\n<p>abzielen. Mit den so erbeuteten Informationen k\u00f6nnen dann gezielte Angriffe geplant und ausgef\u00fchrt werden.<\/p>\n<h2>Verschiedene Versionen von AlienFox<\/h2>\n<p>Bislang wurden von den Sicherheitsforschern die AlienFox-Versionen 2 bis 4 identifiziert, die ab Februar 2022 verf\u00fcgbar sind. Die Techniken des Tools und ihre Organisation sind von Version zu Version unterschiedlich.<\/p>\n<p>Mehrere analysierte Skripte wurden zu den Malware-Familien <a href=\"https:\/\/www.lacework.com\/blog\/androxghost-the-python-malware-exploiting-your-aws-keys\/\">Androxgh0st<\/a> und <a href=\"https:\/\/permiso.io\/blog\/s\/approach-to-detection-androxgh0st-greenbot-persistence\/\">GreenBot<\/a> (<em>alias<\/em> Maintance) zusammengefasst. Wie feststellt werden konnte, sind die Skripte in offenen Quellen wie GitHub leicht verf\u00fcgbar, was eine st\u00e4ndige Anpassung und Variation in freier Wildbahn erm\u00f6glicht.<\/p>\n<h3>AlienFox V2<\/h3>\n<p>Version 2 ist das \u00e4lteste der bekannten AlienFox-Toolsets und konzentriert sich in erster Linie auf die Extraktion von Anmeldeinformationen aus Webserver-Konfigurations- oder Umgebungsdateien. Das von den Sicherheitsforschern analysierte Archiv enth\u00e4lt die Ausgaben eines Akteurs, der die Tools ausgef\u00fchrt hat, darunter AWS-Zugangs- und Geheimschl\u00fcssel. In dieser Version des AlienFox-Toolsets ist das Kerndienstprogramm in einem Skript namens <em>s3lr.py<\/em> untergebracht, das dem in sp\u00e4teren Versionen beschriebenen env.py \u00e4hnlich ist.<\/p>\n<h2>Empfehlungen f\u00fcr Unternehmen<\/h2>\n<p>Um sich gegen AlienFox-Tools zu sch\u00fctzen, empfehlen die Sicherheitsforscher Unternehmen, sich auf bew\u00e4hrte Verfahren zur Konfigurationsverwaltung zu st\u00fctzen, um das Prinzip der geringsten Privilegien bei der Konfigurierung der Dienste einzuhalten. Der Einsatz einer Cloud Workload Protection Platform (CWPP) auf virtuellen Maschinen und Containern sollte in Betracht gezogen werden, um interaktive Aktivit\u00e4ten mit dem Betriebssystem zu erkennen.<\/p>\n<p>Da Aktivit\u00e4ten wie Brute-Force- oder Passwort-Spray-Versuche von bestimmten Dienstanbietern m\u00f6glicherweise nicht protokolliert werden, wird die \u00dcberwachung von Folgeaktionen, einschlie\u00dflich der Erstellung neuer Konten oder Dienstprofile \u2013 insbesondere solcher mit hohen Berechtigungen &#8211;\u00a0 empfohlen. Zudem sollten auf Plattformen der Unternehmen, die neu hinzugef\u00fcgte E-Mail-Adressen \u00fcberpr\u00fcft werden.<\/p>\n<h2>Das Fazit der Sicherheitsforscher<\/h2>\n<p>Das AlienFox-Toolset zeigt, so die SentinelLabs-Forscher, eine weitere Stufe in der Entwicklung der Internetkriminalit\u00e4t, die auf die Cloud abzielt. Cloud-Dienste verf\u00fcgen \u00fcber gut dokumentierte, leistungsstarke APIs, die es Entwicklern aller Qualifikationsstufen erm\u00f6glichen, problemlos Tools f\u00fcr den Dienst zu schreiben. Das Toolset wurde nach und nach durch verbesserte Codierungspraktiken und die Hinzuf\u00fcgung neuer Module und Funktionen verbessert.<\/p>\n<p>Opportunistische Cloud-Angriffe sind nicht mehr nur auf Kryptomining beschr\u00e4nkt: Die AlienFox-Tools erleichtern Angriffe auf minimale Dienste, die nicht \u00fcber die f\u00fcr das Mining erforderlichen Ressourcen verf\u00fcgen. Bei der Analyse der Tools und der Tool-Ausgaben konnte festgestellt werden, dass die Akteure AlienFox verwenden, um Dienstanmeldeinformationen von falsch konfigurierten oder ungesch\u00fctzten Diensten zu identifizieren und zu sammeln. F\u00fcr die Opfer kann eine Kompromittierung zu zus\u00e4tzlichen Servicekosten, Vertrauensverlust bei den Kunden und Kosten f\u00fcr die Behebung des Problems f\u00fchren.<\/p>\n<p>Die SentinelLabs haben das Ergebnis ihrer Untersuchung mit weiteren Details Ende M\u00e4rz 2023 im Blog-Beitrag <a href=\"https:\/\/www.sentinelone.com\/labs\/dissecting-alienfox-the-cloud-spammers-swiss-army-knife\/\" target=\"_blank\" rel=\"noopener\">Dissecting AlienFox | The Cloud Spammer's Swiss Army Knife<\/a> ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]AlienFox ist ein Toolkit zur Kompromittierung von E-Mail- und Webhosting-Diensten. Dieses Toolkit ist hochgradig modular, liegt in mehreren Versionen vor und versucht Fehlkonfigurationen in der Cloud auszunutzen, um die Anmeldedaten f\u00fcr Dienste wie AWS, Microsoft 365, Google Workspace, 1und1 etc. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/04\/11\/alienfox-toolkit-zur-kompromittierung-von-e-mail-und-webhosting-diensten-in-der-cloud\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-279521","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279521","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=279521"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279521\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=279521"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=279521"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=279521"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}