Zlonamjerni softver Legion
Sigurnosni istraživači kompanije Cado Labs su otkrili novi alat za prikupljanje korisničkih podatka i hakovanje, baziran na programskom jeziku Python. Ovaj zlonamjerni softver nazvan je Legion i namijenjen je za iskorištavanje različitih servisa koji mogu omogućiti zloupotrebu elektronske pošte.
Distribucija zlonamjernog softvera se vrši preko Telegram kanala, u grupi koja ima preko 1.000 članova, a najstarija poruka je iz februara 2021. godine. Istraživanje je povezalo zlonamjerni softver sa sa korisnikom koji se krije iza nadimka myl3gion, međutim postoji skorašnja objava grupe da je myl3gion u stvari prevarant. Nema više dostupnih informacija u vezi ove situacije, ali sigurnosni istraživači sumnjaju da je uzorak koji oni posjeduju bez dozvole autora distribuirao baš myl3gion.
Također, postoji i YouTub kanal pod nazivom Forza Tools na kojem se nalazi serija video zapisa za korištenje Legion zlonamjernog softvera. Ovo sugeriše da je autor ove alatke uložio dodatni napor da napravi ove video materijale kako bi omogućio širu distribuciju i vjerovatno bolju naplatu.
Karakteristike
Uzorak koji je u posjedu sigurnosnih istraživača je relativno je relativno dug (21015 linija) Python3 skripta. Analiza je pokazala da zlonamjerni softver ima mogućnost integracije sa servisima kako što su Twilio i Shodan, uz podršku za Telegram uz mogućnost slanja rezultata svakog od modula u Telegram ćaskanje preko Telegram Bot API-ja.
Površan pogled na kôd i YouTub kanal pokazuju da se se Legion prvenstveno bavi zlonamjernim iskorištavanjem veb servera koji koriste sisteme za upravljanje sadržajem (CMS), PHP ili radna okruženja zasnovana na PHP-u – kao što je npr. Laravel.
Na ovim serverima, Legion koristi brojne RegEx obrasce za izdvajanje podataka za prijavu za različite Internet usluge, to se odnosi na elektronsku poštu, usluge u oblaku (AWS), sisteme za upravljanje serverima, baze podataka i sisteme plaćanja – kao što su Stripe i PayPal. Uz to, zlonamjerni softver ima kôd za ubacivanje veb komandnog okruženja, mogućnost napada grubom silom na CPanel ili AWS korisničke naloge i slanje SMS poruka listi dinamički generisanih američkih mobilnih brojeva.
Tipično, ova vrsta zlonamjernog softvera se može koristiti za otmicu navedenih usluga i korišćenje infrastrukture za masovno slanje neželjene elektronske pošte ili oportunističke phishing kampanje.
Krađa korisničkih naloga
Legion sadrži brojne metode za preuzimanje korisničkih naloga sa pogrešno konfigurisanih veb servera. U zavisnosti od softvera veb servera, jezika skripti ili radnog okruženja koji server pokreće, zlonamjerni softver će pokušati da zatraži resurse za koje se zna da sadrže tajne, raščlani ih i sačuva tajne u datoteke rezultata sortirane na osnovu usluge.
Jedan takav resurs je datoteka promjenljivih okruženja “.env”, koja često sadrži tajne specifične za aplikaciju za Laravel i druge veb aplikacije zasnovane na PHP-u. Zlonamjerni softver sadrži listu poznatih putanja do ove datoteke, kao i slične datoteke i direktorije za druge veb tehnologije. Legion pokušava da pristupi ovim .env datotekama tako što nabraja ciljni server sa listom tvrdo kodiranih putanja u kojima se tipično nalaze ovi promjenljivi fajlovi okruženja. Ako su ove putanje javno dostupne, zbog pogrešne konfiguracije, datoteke se čuvaju i niz regularnih izraza se pokreće preko njihovog sadržaja.
AWS, SMS i PHP zloupotreba
Legion će pokušati da preuzme korisničke podatke za prijavu sa nesigurnih ili pogrešno konfigurisanih veb servera. Od posebnog interesa za one koji se bave bezbjednošću u oblaku je sposobnost zlonamjernog softvera da preuzme AWS podatke za prijavu. Ne samo da autor tvrdi da ih njegov zlonamjerni softver prikuplja sa ciljnih lokacija, već uključuje i funkciju napada grubom silom kako bi došao do AWS podatka za prijavu.
Bez obzira na koji način dođe do korisničkih podataka za prijavu, zlonamjerni softver će pokušati dodati IAM korisnika sa korisničkim imenom ses_legion. Nakon toga, Legion pokušava da kreira politiku zasnovanu na politici kojom Amazon upravlja administratorskim pristupom. Ova upravljana politika omogućava pun pristup i može delegirati dozvole za sve usluge i resurse u okviru AWS servisa. Ovo uključuje upravljačku konzolu, pod uslovom da je pristup aktiviran za korisnika.
Jedna od karakteristika Legion zlonamjernog softvera je i mogućnost isporuke SMS neželjenih poruka korisnicima mobilnih mreža u Sjedinjenim Državama. Da bi ovo postigao, zlonamjerni softver koristi Internet stranicu www.randomphonenumbers.com uz upotrebu Python BeautifulSoup HTML biblioteku za raščlanjavanje, a rudimentarna funkcija generatora brojeva se zatim koristi za pravljenje liste telefonskih brojeva za ciljanje. Kako bi mogao poslati SMS poruke, vrši se provjera sačuvanih SMTP podataka za prijavu koje je zlonamjerni softver već preuzeo kroz jedan od modula za prikupljanje podatka.
Pored svih navedenih mogućnosti, Legion takođe uključuje tradicionalnu funkcionalnost alata za hakovanje koja se ogleda u mogućnosti da se iskoriste dobro poznate PHP ranjivosti za ubacivanje veb komandnog okruženja ili daljinsko izvršavanje zlonamjernog kôda.
Nova verzija
Sigurnosni istraživači su nedugo poslije prvog uzorka Legion zlonamjernog softvera, pronašli i noviju verziju koja u odnosu na prethodni ima neke nove mogućnosti.
U prvom uzorku sigurnosni istraživači su pronašli kôd koji je trebao da iskoristi bazu ukradenih korisničkih podataka u kombinaciji sa odgovarajućom Internet lokacijom i pokrene prijavu preko SSH protokola, pod pretpostavkom da se ukradeni korisnički podaci još uvijek upotrebljavaju. Međutim, on nije bio funkcionalan i označen je samo kao komentar. U novoj verziji Legion zlonamjernog softvera ova funkcija je omogućena.
U prvoj verziji zlonamjerni softver traga za promjenljivim datotekama okruženja na pogrešno konfigurisanim veb serverima koji koriste radna okruženja zasnovana na PHP-u kao što je Laravel. Analizom promjenljivih okruženja se vidi da u ažuriranoj verziji Legion traži podatke specifične za DynamoDB, Amazon CloudWatch i AWS Owl.
Zaključak
Legion je alat za hakovanje koji se aktivno razvija, a posebno je dizajniran da iskorištava ranjive veb aplikacije u pokušaju da prikupi korisničke podatke za prijavu. Legion se prvenstveno fokusira na preuzimanje korisničkih podatke za prijavu za SMTP i SMS zloupotrebu.
Međutim, ažuriranje u novoj verziji pokazuje proširenje obima, sa novim mogućnostima kao što je mogućnost kompromitovanja SSH servera i preuzimanja dodatnih korisničkih podataka za prijavu specifičnih za AWS iz Laravel veb aplikacija. Jasno je da zlonamjerni autor cilja usluge u oblaku i da napreduje sa svakom novom verzijom.
Zlonamjerni softver se najviše oslanja na pogrešne konfiguracije u veb server tehnologijama i radnim okruženjima zasnovanim Laravel-u, pa se preporučuje da korisnici ovih tehnologija pregledaju svoje postojeće bezbjednosne procese i osiguraju da su tajne na odgovarajući način uskladištene.
Korisnici AWS servisa treba da budu svjesni da Legion cilja IAM i usluge kao što je SES. Napadači mijenjaju registracioni kôd IAM korisnika da uključi oznaku „Vlasnik“ (eng. Owner) sa tvrdo kodiranom vrednoću „ms.boharas“. AWS administratori bi trebalo da obrate pažnju na korisničke naloge sa ovom oznakom, jer je to jasan pokazatelj kompromitovanja zlonamjernim softverom i može se koristiti za detekciju i istrage.