AlienFox: Toolkit zur Kompromittierung von E-Mail- und Webhosting-Diensten in der Cloud

[English]AlienFox ist ein Toolkit zur Kompromittierung von E-Mail- und Webhosting-Diensten. Dieses Toolkit ist hochgradig modular, liegt in mehreren Versionen vor und versucht Fehlkonfigurationen in der Cloud auszunutzen, um die Anmeldedaten für Dienste wie AWS, Microsoft 365, Google Workspace, 1und1 etc. abzugreifen. Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben mehrere Versionen von AlienFox analysiert und stellen ihre Erkenntnisse zur Verfügung. Unternehmen sollten sich entsprechend wappnen und sich vor Angriffen durch das Toolkit schützen.

Die Analyse ergab, dass das Toolkit hochgradig modular ist und regelmäßig weiterentwickelt wird, um die Anmeldedaten mehrerer Cloud-E-Mail-Dienste anvisieren und dann abgreifen zu können. Interessant ist, dass die meisten Tools aus dem Toolkit quelloffen sind. Dies bietet den Akteuren die Möglichkeit, diese leicht zu verändern und an ihre Bedürfnisse anzupassen. Viele Bedrohungsakteure haben an verschiedenen Versionen der Tools mitgearbeitet, und die Entwicklung wiederkehrender Funktionen lässt darauf schließen, dass die Entwickler ihre Angriffstechniken stetig verbessern.

Ziel: Falsch konfigurierte Hosts finden

SentinelLabs schreibt, dass die Akteure das AlienFox Toolkit verwenden, um Listen von falsch konfigurierten Hosts von Sicherheitsscan-Plattformen wie LeakIX und SecurityTrails zu sammeln. Sie verwenden mehrere Skripte im Toolset, um sensible Informationen wie API-Schlüssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, die auf den Webservern der Opfer liegen.

LeakIX ist eine in Belgien entwickelte webbasierte, Suchmaschine, die alle Dienste und Webanwendungen auf IPv4 und jetzt auch auf IPv6 indiziert und ähnlich wie Shodan arbeitet. Die Plattform ermöglicht Sicherheitsforschern (aber auch Thread-Akteuren) das Internet nach Diensten mit Schwachstellen oder falscher Konfigurierung zu durchsuchen. Pentesting hat hier einen Übersichtsartikl zu LeakIX veröffentlicht.

SecurityTrails ermöglicht es Sicherheitsforschern, aktuelle und historische Daten (IP- und DNS-Historie, Domain-, SSL- und Open Port-Informationen) für beliebige Internet-Assets zu untersuchen. Beide Plattformen sind also legitime Projekte, die von Sicherheitsforschern für ihre Analysen verwendet werden, aber auch von Thread-Akteuren missbraucht werden können.

Laut SentinelLabs verwenden spätere Versionen des Toolsets Skripte, die den Akteuren ermöglichen, bestimmte Aktionen unter Verwendung der gestohlenen Anmeldedaten zu automatisieren. Dazu gehören:

• Einrichten von Amazon Web Services (AWS)-Kontenpersistenz und Privilegieneskalation
• Sammeln von Sendequoten und Automatisieren von Spam-Kampagnen über Opferkonten oder -dienste

Das AlienFox-Toolkit ist also quasi so etwas wie das "Schweizer-Messer" für Cyberkriminelle, um ihre Aktionen automatisiert abzuwickeln und Opfer anzugreifen.

Breite Zielgruppen für AlienFox

Das AlienFox Toolkit kombiniert Tools, die auf eine Vielzahl von Webdiensten abzielen. Das übergreifende Thema heißt aber: Fokussierung auf Cloud-basierte und Software-as-a-Service (SaaS) E-Mail-Hosting-Dienste.

Die aktuellen Beobachtungen von SentinelLabs deuten darauf hin, dass AlienFox in erster Linie opportunistisch (also der Lage angepasst) vorgeht. Die Akteure nutzen Server-Fehlkonfigurationen im Zusammenhang mit beliebten Web-Frameworks, darunter Laravel, Drupal, Joomla, Magento, Opencart, Prestashop und WordPress.

Wird ein anfälliger Server identifiziert, analysiert der Akteur die offengelegten Umgebungs- oder Konfigurationsdateien, in denen sensible Informationen wie aktivierte Dienste und die zugehörigen API-Schlüssel und weitere vertrauliche Informationen gespeichert sind. Die Sicherheitsforscher fanden Skripte, die auf das Abgreifen von Token und anderen vertraulichen Daten von Diensten wie:

• 1und1
• AWS SES
• Google Workspace
• Microsoft 365

abzielen. Mit den so erbeuteten Informationen können dann gezielte Angriffe geplant und ausgeführt werden.

Verschiedene Versionen von AlienFox

Bislang wurden von den Sicherheitsforschern die AlienFox-Versionen 2 bis 4 identifiziert, die ab Februar 2022 verfügbar sind. Die Techniken des Tools und ihre Organisation sind von Version zu Version unterschiedlich.

Mehrere analysierte Skripte wurden zu den Malware-Familien Androxgh0st und GreenBot (alias Maintance) zusammengefasst. Wie feststellt werden konnte, sind die Skripte in offenen Quellen wie GitHub leicht verfügbar, was eine ständige Anpassung und Variation in freier Wildbahn ermöglicht.

AlienFox V2

Version 2 ist das älteste der bekannten AlienFox-Toolsets und konzentriert sich in erster Linie auf die Extraktion von Anmeldeinformationen aus Webserver-Konfigurations- oder Umgebungsdateien. Das von den Sicherheitsforschern analysierte Archiv enthält die Ausgaben eines Akteurs, der die Tools ausgeführt hat, darunter AWS-Zugangs- und Geheimschlüssel. In dieser Version des AlienFox-Toolsets ist das Kerndienstprogramm in einem Skript namens s3lr.py untergebracht, das dem in späteren Versionen beschriebenen env.py ähnlich ist.

Empfehlungen für Unternehmen

Um sich gegen AlienFox-Tools zu schützen, empfehlen die Sicherheitsforscher Unternehmen, sich auf bewährte Verfahren zur Konfigurationsverwaltung zu stützen, um das Prinzip der geringsten Privilegien bei der Konfigurierung der Dienste einzuhalten. Der Einsatz einer Cloud Workload Protection Platform (CWPP) auf virtuellen Maschinen und Containern sollte in Betracht gezogen werden, um interaktive Aktivitäten mit dem Betriebssystem zu erkennen.

Da Aktivitäten wie Brute-Force- oder Passwort-Spray-Versuche von bestimmten Dienstanbietern möglicherweise nicht protokolliert werden, wird die Überwachung von Folgeaktionen, einschließlich der Erstellung neuer Konten oder Dienstprofile – insbesondere solcher mit hohen Berechtigungen –  empfohlen. Zudem sollten auf Plattformen der Unternehmen, die neu hinzugefügte E-Mail-Adressen überprüft werden.

Das Fazit der Sicherheitsforscher

Das AlienFox-Toolset zeigt, so die SentinelLabs-Forscher, eine weitere Stufe in der Entwicklung der Internetkriminalität, die auf die Cloud abzielt. Cloud-Dienste verfügen über gut dokumentierte, leistungsstarke APIs, die es Entwicklern aller Qualifikationsstufen ermöglichen, problemlos Tools für den Dienst zu schreiben. Das Toolset wurde nach und nach durch verbesserte Codierungspraktiken und die Hinzufügung neuer Module und Funktionen verbessert.

Opportunistische Cloud-Angriffe sind nicht mehr nur auf Kryptomining beschränkt: Die AlienFox-Tools erleichtern Angriffe auf minimale Dienste, die nicht über die für das Mining erforderlichen Ressourcen verfügen. Bei der Analyse der Tools und der Tool-Ausgaben konnte festgestellt werden, dass die Akteure AlienFox verwenden, um Dienstanmeldeinformationen von falsch konfigurierten oder ungeschützten Diensten zu identifizieren und zu sammeln. Für die Opfer kann eine Kompromittierung zu zusätzlichen Servicekosten, Vertrauensverlust bei den Kunden und Kosten für die Behebung des Problems führen.

Die SentinelLabs haben das Ergebnis ihrer Untersuchung mit weiteren Details Ende März 2023 im Blog-Beitrag Dissecting AlienFox | The Cloud Spammer's Swiss Army Knife veröffentlicht.