摘要
- FBot 是一种基于 Python 的黑客工具,与其他云恶意软件系列不同,针对 Web 服务器、云服务和 SaaS 平台,如 AWS、Office365、PayPal、Sendgrid 和 Twilio。
- FBot 没有使用广泛使用的 Androxgh0st 代码,但在功能和设计上与 Legion 云信息窃取程序有相似之处。
- 主要功能包括针对垃圾邮件攻击的凭据收集、AWS 账户劫持工具以及针对 PayPal 和各种 SaaS 账户发起攻击的功能。
- 与类似工具相比,FBot 的特点是占用空间更小,这表明可能的私有开发和更有针对性的分发方法。
概述
云黑客工具场景是高度交织在一起的,许多工具都依赖于彼此的代码。对于 AlienFox、Greenbot、Legion 和 Predator 等恶意软件系列尤其如此,它们共享来自名为 Androxgh0st 的凭据抓取模块的代码。
我们发现了一种与这些家族相关但不同的工具。FBot 是一种基于 Python 的攻击工具,具有针对 Web 服务器和云服务以及软件即服务 (SaaS) 技术的功能,包括:
- Amazon Web Services (AWS)
- Office365
- PayPal
- Sendgrid
- Twilio
FBot 的独特之处在于它显然没有适应类似黑客工具中常见的 Androxgh0st 代码,尽管最早对 FBot 的引用比第一次看到 Androxgh0st 的时间晚一年。但是,与 Legion 云信息窃取程序有多个连接,这使得 Legion 维护者很可能将 FBot 中的代码改编到他们的工具中。
FBot 主要用于劫持云、SaaS 和 Web 服务的行为者。次要关注点是获取帐户以进行垃圾邮件攻击。参与者可以使用凭据收集功能来获取初始访问权限,并将其出售给其他方。
该工具包含各种实用程序,包括 IP 地址生成器和端口扫描器。还有一个电子邮件验证器功能,它使用印度尼西亚技术服务提供商来验证电子邮件地址。
FBot 菜单和功能列表
AWS 定位
FBot 有三个专门用于 AWS 账户攻击的功能。第一个是 AWS API 密钥生成器,由函数处理,它通过将 16 个随机选择的字母字符附加到标准前缀来生成随机 AWS 访问密钥 ID。然后,它从 40 个随机选择的字母字符中生成一个密钥。aws_generatorAKIA
尽管 FBot 明显没有采用 Androxgh0st 模块,但在对 Legion 窃取器以及较旧的 Androxgh0st 变体的研究中强调了相同的功能,并且没有显着变化。我们同意上述研究人员的结论,即由于可能存在访问密钥和密码组合的数量,此功能不太可能成功破解帐户凭据。
第二个 AWS 功能是 Mass AWS Checker,由 function 处理。此函数检查 AWS Simple Email Service (SES) 电子邮件配置详细信息,包括最大发送配额和速率,以及过去 24 小时内发送的邮件数量,这可能会最大限度地提高针对目标账户的垃圾邮件处理量。它还使用用户名和密码创建一个新用户帐户,并附加 AdminsitratorAccess 策略以提升新帐户的权限。与 AlienFox 等其他云攻击工具不同,FBot 不会删除攻击者用于获取访问权限的受感染帐户。aws_checkeriDevXploitMCDonald2021D#1337
第三个也是最后一个AWS功能是AWS EC2检查器,其描述由函数处理。此函数从格式为 的文本文件中读取 AWS 身份列表。该脚本使用这些值来检查目标账户的 EC2 服务配额。FBot 菜单强调这可用于检查 vCPU 详细信息,尽管输出不太简单。查询结果描述账户的 EC2 配置和功能,例如可以运行哪些类型的 EC2 实例。该脚本遍历指定 AWS 区域的列表,再次对每个区域运行查询,并将结果记录到文本文件中。Get EC2 VCPU Limitec_checkerAccessKey|SecretKey|Region
FBot 的 ec_checker 函数捕获的示例 EC2 配额输出
SaaS和支付服务定位
FBot 具有针对支付服务以及 SaaS 配置的多项功能。
PayPal 验证器功能由 处理。此函数通过使用从输入列表中读取的电子邮件地址联系硬编码 URL 来验证 PayPal 帐户状态。电子邮件将添加到客户详细信息部分的请求中,以验证电子邮件地址是否与 PayPal 帐户关联。paypal_validator
该脚本通过网站发起PayPal API请求,该网站是立陶宛时装设计师的零售网站。有趣的是,所有已识别的FBot样本都使用此网站来验证PayPal API请求,并且一些Legion Stealer样本也是如此。hxxps://www.robertkalinkin.com/index.php
PayPal Validator 使用虚假的项目 ID 和虚假的客户详细信息制作对该网站的请求,然后解析响应以显示成功的状态消息。
PayPal 验证请求数据
FBot 还针对多个 SaaS 平台,包括 Sendgrid 和 Twilio。Sendgrid 功能是一个 Sendgrid API 密钥生成器,它生成一个 Sendgrid 密钥,其格式如下:
SG.{22 characters from [A-Z0-9-_]}.{1 more character from previous range}
Twilio 功能将 Twilio SID 和 Twilio 身份验证令牌作为输入,由管道分隔。然后,该函数检查 SID 和身份验证令牌组合以获取有关帐户的详细信息,包括余额和货币,以及连接到帐户的电话号码列表。
Web 框架功能
FBot 具有验证 URL 是否托管 Laravel 环境文件以及从这些文件中提取凭据的功能。隐藏的配置扫描程序功能将 URL 作为输入,并向多个 PHP、Laravel 和 AWS 相关的 URI 发出 HTTP GET 请求,这些 URI 可以存储配置值,包括:
对响应进行分析,以查找与以下服务相关的密钥和机密,并将结果写入文本文件:
FBot 还针对几种流行的内容管理系统 (CMS)。该函数包含 CMS 和 Web 框架到与服务关联的正则表达式 (regex) 的映射。该程序创建对目标 URL 的请求,并分析以下技术的响应:cms_scanner
样本信息
FBot 依赖于通过配置文件 (.ini) 或通过启动主类的标头提供给它的配置值。我们确定了一个编译为 Windows 可执行文件的版本。
该字符串存在于所有示例中:此句柄被记为主类中的作者。此外,该函数还会在目标 AWS 控制台中留下项目:当 FBot 在 AWS 账户中创建新用户时,用户名和密码在示例中是一致的。iDevXploitaws_checkeriDevXploitMCDonald2021D#1337
与许多类似的云黑客工具不同,FBot 不包含对 AlienFox、GreenBot 和 Predator 等工具中开源 Androxgh0st 代码的引用。实现的逻辑非常相似,因为 Androxgh0st 和 FBot 都解析了与类似邮件和云服务相关的凭据的环境配置文件,但实现方式不同,似乎没有直接借用代码。
与 Legion 云信息窃取程序在如何抓取 PHP 配置的 URL 方面有相当大的重叠。然而,FBot 比 Legion 小得多,功能也不那么完整,FBot 样本的重量约为 200 KB,而 Legion 的大小为 800-1200 KB。
结论
FBot 展示了另一个工具系列,它延续了将云攻击工具代码从一个工具采用到另一个工具的趋势,同时保持了自己独特的风格。我们已经看到了 2022 年 7 月至 2024 年 1 月的样本,表明该工具持续扩散。但是,不同版本之间的更改相对较少,目前尚不清楚是否积极维护。
在撰写本文时,我们无法确定专用于 FBot 的分发渠道,该渠道将该工具与 Telegram 上经常出售的其他云信息窃取器区分开来。该机器人引用了 buffer_0x0verfl0w,这是一个与各种犯罪软件相关的 Telegram 频道,现已退役。然而,我们发现有迹象表明 FBot 是私人开发工作的产物,因此当代建筑可能通过较小规模的运营进行分发。这与云攻击工具的主题一致,即为个人买家量身定制的“私人机器人”,这是 AlienFox 构建中普遍存在的主题。
组织应通过编程访问为 AWS 服务启用多重验证 (MFA)。创建警报,以便在将新的 AWS 用户账户添加到组织时通知安全运营团队,并在可能的情况下针对添加的新身份或对 SaaS 批量邮件应用程序进行重大配置更改的警报。
IOC
SHA1
1ad78e99918fd66ed43d42a93d2f910a2173b3c5 Bot.py, January 2024 version of FBot
2becd32162b2b0cb1afc541e33ace3a29dad96f1 April 2023 version of FBot
8ba3fca4deada6dbdc94b17a0c3c55a0b785331e Bot.py, July 2022 version of FBot
iDevXploit Hardcoded AWS IAM Username
MCDonald2021D#1337 Hardcoded AWS IAM User password参考链接:https://www.sentinelone.com/labs/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services/
图片来源网络目标可联系删除
