执行摘要
FBot 是一种基于 Python 的黑客工具,与其他云恶意软件系列不同,其目标是 Web 服务器、云服务和 SaaS 平台,例如 AWS、Office365、PayPal、Sendgrid 和 Twilio。
FBot 没有使用广泛使用的 Androxgh0st 代码,但在功能和设计上与 Legion 云信息窃取器有相似之处。
主要功能包括垃圾邮件攻击的凭证收集、AWS 帐户劫持工具以及针对 PayPal 和各种 SaaS 帐户进行攻击的功能。
与类似工具相比,FBot 的特点是占用空间更小,这表明可能的私人开发和更有针对性的分发方式。
概述
云黑客工具场景高度交织,许多工具依赖彼此的代码。对于AlienFox、Greenbot、Legion 和 Predator 等恶意软件家族来说尤其如此,它们共享来自名为Androxgh0st的凭证抓取模块的代码。
我们确定了一个与这些系列相关但又不同的工具。FBot 是一种基于 Python 的攻击工具,具有针对 Web 服务器和云服务以及软件即服务 (SaaS) 技术的功能,包括:
Amazon Web Services (AWS)
Office365
PayPal
Sendgrid
Twilio
FBot 的独特之处在于,它显然没有采用类似黑客工具中常见的 Androxgh0st 代码,尽管对 FBot 的最早引用比第一次发现 Androxgh0st 晚了一年。然而,与 Legion 云信息窃取者有多个连接,这使得 Legion 维护者很可能将 FBot 的代码改编到他们的工具中。
FBot 主要是为攻击者劫持云、SaaS 和 Web 服务而设计的。第二个重点是获取帐户以进行垃圾邮件攻击。参与者可以使用凭证收集功能来获得初始访问权限,并将其出售给其他方。
该工具包含各种实用程序,包括 IP 地址生成器和端口扫描器。还有电子邮件验证器功能,该功能使用印度尼西亚技术服务提供商来验证电子邮件地址。
FBot 菜单和功能列表
AWS 定位
FBot 拥有三个专门针对 AWS 账户攻击的功能。第一个是 AWS API 密钥生成器,由 函数 处理aws_generator,它通过将 16 个随机选择的字母字符附加到标准AKIA前缀来生成随机 AWS 访问密钥 ID。然后,它从 40 个随机选择的字母字符中生成一个密钥。
尽管 FBot 明显没有采用 Androxgh0st 模块,但在对Legion窃取者以及较旧的Androxgh0st变体的研究中强调了相同的功能,并且它没有发生重大变化。我们同意上述研究人员的结论,即由于访问密钥和密码组合的可能数量,该功能不太可能成功暴力破解帐户凭据。
第二个 AWS 功能是 Mass AWS Checker,由 function 处理aws_checker。此功能检查 AWS Simple Email Service (SES) 电子邮件配置详细信息,包括最大发送配额和速率,以及过去 24 小时内发送的消息数量,可能会最大限度地针对目标账户发送垃圾邮件。它还使用用户名iDevXploit和密码创建一个新用户帐户MCDonald2021D#1337,并附加 AdminsitratorAccess 策略以提升新帐户的权限。与 AlienFox 等其他云攻击工具不同,FBot 不会删除攻击者用于获取访问权限的受感染帐户。
第三个也是最后一个 AWS 功能是 AWS EC2 检查器,其描述为Get EC2 VCPU Limit,由函数 处理ec_checker。此函数从 .txt 格式的文本文件中读取 AWS 身份列表AccessKey|SecretKey|Region。该脚本使用这些值来检查目标账户的 EC2 服务配额。FBot 菜单强调这可用于检查 vCPU 详细信息,尽管输出不太简单。查询结果描述了账户的 EC2 配置和功能,例如可以运行哪些类型的 EC2 实例。该脚本循环访问指定 AWS 区域的列表,对每个区域再次运行查询,并将结果记录到文本文件中。
FBot 的 ec_checker 函数捕获的 EC2 配额输出示例
SaaS 和支付服务定位
FBot 具有多种针对支付服务和 SaaS 配置的功能。
PayPal 验证器功能由 处理paypal_validator。此函数通过使用从输入列表中读取的电子邮件地址联系硬编码 URL 来验证 PayPal 帐户状态。该电子邮件将添加到客户详细信息部分的请求中,以验证电子邮件地址是否与 PayPal 帐户关联。
该脚本通过网站发起 Paypal API 请求,该网站是立陶宛时装设计师的零售销售网站。有趣的是,所有已识别的 FBot 样本都使用该网站来验证 PayPal API 请求,一些 Legion Stealer 样本也这样做。hxxps://www.robertkalinkin.com/index.php
PayPal 验证器使用虚假商品 ID 和虚假客户详细信息向该网站发出请求,然后解析响应以获取指示成功的状态消息。
PayPal 验证请求数据
FBot 还针对多个 SaaS 平台,包括 Sendgrid 和 Twilio。Sendgrid 功能是一个 Sendgrid API 密钥生成器,它生成格式如下的 Sendgrid 密钥:
SG.{22 charactersfrom
[A-Z0-9-_]}.{1
more character from previous range}
Twilio 功能采用 Twilio SID 和 Twilio Auth Token 作为输入,并用管道分隔。然后,该函数检查 SID 和身份验证令牌组合以获取有关帐户的详细信息,包括余额和货币、连接到帐户的电话号码列表。
Web 框架功能
FBot 具有验证 URL 是否托管 Laravel 环境文件以及从这些文件中提取凭据的功能。隐藏配置扫描器功能将 URL 作为输入,并向可能存储配置值的多个 PHP、Laravel 和 AWS 相关 URI 生成 HTTP GET 请求,包括:
解析响应中与以下服务相关的密钥和机密,并将结果写入文本文件:
FBot 还针对几种流行的内容管理系统 (CMS)。该函数cms_scanner包含 CMS 和 Web 框架到与服务关联的正则表达式 (regex) 的映射。该程序创建对目标 URL 的请求并解析以下技术的响应:
分类
FBot 依赖于通过配置文件 (.ini) 或通过启动主类的标头提供的配置值。我们确定了一个编译为 Windows 可执行文件的版本。
该字符串iDevXploit存在于所有样本中:该句柄被视为主类中的作者。此外,该aws_checker函数会在目标 AWS 控制台中留下痕迹:当 FBot 在 AWS 账户中创建新用户时,iDevXploit样本中的用户名以及密码都是一致的MCDonald2021D#1337。
与许多类似的云黑客工具不同,FBot 不包含对 AlienFox、GreenBot 和Predator等工具中的开源Androxgh0st代码的引用。实现的逻辑非常相似,Androxgh0st 和 FBot 都解析环境配置文件以获取与类似邮件和云服务相关的凭据,但实现不同,似乎没有直接借用代码。
这些工具如何抓取 PHP 配置的 URL 与 Legion 云信息窃取器有相当大的重叠。然而,FBot 比 Legion 小得多,功能也不够齐全,FBot 样本的大小约为 200 KB,而 Legion 的大小为 800-1200 KB。
结论
FBot 展示了另一个工具系列,它延续了将云攻击工具代码从一种工具转移到另一种工具的趋势,同时保持了自己独特的风格。我们看到了 2022 年 7 月至 2024 年 1 月的样本,表明该工具的持续扩散。然而,各个版本之间的变化相对较少,并且尚不清楚是否积极维护这一点。
截至撰写本文时,我们无法确定 FBot 专用的分销渠道,这使得该工具与 Telegram 上经常出售的其他云信息窃取工具区分开来。该机器人引用了 buffer_0x0verfl0w,这是一个与各种犯罪软件相关的 Telegram 频道,现已停用。然而,我们发现有迹象表明 FBot 是私人开发工作的产物,因此当代构建可能通过较小规模的运营进行分发。这与云攻击工具是为个人买家量身定制的“私人机器人”的主题相一致,这是 AlienFox 构建中普遍存在的主题。
组织应通过编程访问为 AWS 服务启用多重身份验证 (MFA)。创建警报,以便在组织中添加新的 AWS 用户账户时通知安全运营团队,并在可能的情况下针对添加的新身份或 SaaS 批量邮件应用程序的主要配置更改发出警报。
妥协指标
参考链接: https://cloudsecurityalliance.org/blog/2024/01/24/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services/
图片来源网络目标可联系删除
