{"id":4876,"date":"2023-06-01T08:57:28","date_gmt":"2023-06-01T06:57:28","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4876"},"modified":"2023-06-01T08:57:28","modified_gmt":"2023-06-01T06:57:28","slug":"zlonamjerni-softver-legion","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/06\/01\/zlonamjerni-softver-legion\/","title":{"rendered":"Zlonamjerni softver Legion"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije Cado Labs<\/em> su otkrili novi alat<\/a> za prikupljanje korisni\u010dkih podatka i hakovanje, baziran na programskom jeziku Python<\/em>. Ovaj zlonamjerni softver<\/a> nazvan je Legion<\/em> i namijenjen je za iskori\u0161tavanje razli\u010ditih servisa koji mogu omogu\u0107iti zloupotrebu elektronske po\u0161te.<\/span><\/p>\n

\"Cloud

Cloud Computing; Author: <\/em>Jack Moreh<\/em><\/a><\/p><\/div>\n

Distribucija zlonamjernog softvera se vr\u0161i preko Telegram<\/em> kanala, u grupi koja ima preko 1.000 \u010dlanova, a najstarija poruka je iz februara 2021. godine. Istra\u017eivanje je povezalo zlonamjerni softver sa sa korisnikom koji se krije iza nadimka myl3gion<\/em>, me\u0111utim postoji skora\u0161nja objava grupe da je myl3gion<\/em> u stvari prevarant. Nema vi\u0161e dostupnih informacija u vezi ove situacije, ali sigurnosni istra\u017eiva\u010di sumnjaju da je uzorak koji oni posjeduju bez dozvole autora distribuirao ba\u0161 myl3gion<\/em>.<\/span><\/p>\n

Tako\u0111er, postoji i YouTub<\/em> kanal pod nazivom Forza<\/em> Tools<\/em> na kojem se nalazi serija video zapisa za kori\u0161tenje Legion<\/em> zlonamjernog softvera. Ovo sugeri\u0161e da je autor ove alatke ulo\u017eio dodatni napor da napravi ove video materijale kako bi omogu\u0107io \u0161iru distribuciju i vjerovatno bolju naplatu.<\/span><\/p>\n

 <\/p>\n

Karakteristike<\/strong><\/span><\/h2>\n

Uzorak koji je u posjedu sigurnosnih istra\u017eiva\u010da je relativno je relativno dug (21015 linija) Python3<\/em> skripta. Analiza je pokazala da zlonamjerni softver ima mogu\u0107nost integracije sa servisima kako \u0161to su Twilio<\/em> i Shodan<\/em>, uz podr\u0161ku za Telegram<\/em> uz mogu\u0107nost slanja rezultata svakog od modula u Telegram<\/em> \u0107askanje preko Telegram Bot API<\/em>-ja.<\/span><\/p>\n

Povr\u0161an pogled na k\u00f4d i YouTub<\/em> kanal pokazuju da se se Legion<\/em> prvenstveno bavi zlonamjernim iskori\u0161tavanjem veb servera koji koriste sisteme za upravljanje sadr\u017eajem (CMS<\/em>), PHP<\/em> ili radna okru\u017eenja zasnovana na PHP<\/em>-u \u2013 kao \u0161to je npr. Laravel<\/em>.<\/span><\/p>\n

Na ovim serverima, Legion<\/em> koristi brojne RegEx<\/em> obrasce za izdvajanje podataka za prijavu za razli\u010dite Internet usluge, to se odnosi na elektronsku po\u0161tu, usluge u oblaku (AWS<\/em>), sisteme za upravljanje serverima, baze podataka i sisteme pla\u0107anja \u2013 kao \u0161to su Stripe<\/em> i PayPal<\/em>. Uz to, zlonamjerni softver ima k\u00f4d za ubacivanje veb komandnog okru\u017eenja, mogu\u0107nost napada grubom silom na CPanel<\/em> ili AWS<\/em> korisni\u010dke naloge i slanje SMS<\/em> poruka listi dinami\u010dki generisanih ameri\u010dkih mobilnih brojeva.<\/span><\/p>\n

Tipi\u010dno, ova vrsta zlonamjernog softvera se mo\u017ee koristiti za otmicu navedenih usluga i kori\u0161\u0107enje infrastrukture za masovno slanje ne\u017eeljene elektronske po\u0161te ili oportunisti\u010dke phishing<\/em><\/a> kampanje.<\/span><\/p>\n

 <\/p>\n

Kra\u0111a korisni\u010dkih naloga<\/strong><\/span><\/h3>\n

Legion<\/em> sadr\u017ei brojne metode za preuzimanje korisni\u010dkih naloga sa pogre\u0161no konfigurisanih veb servera. U zavisnosti od softvera veb servera, jezika skripti ili radnog okru\u017eenja koji server pokre\u0107e, zlonamjerni softver \u0107e poku\u0161ati da zatra\u017ei resurse za koje se zna da sadr\u017ee tajne, ra\u0161\u010dlani ih i sa\u010duva tajne u datoteke rezultata sortirane na osnovu usluge.<\/span><\/p>\n

Jedan takav resurs je datoteka promjenljivih okru\u017eenja \u201c.env<\/em>\u201d, koja \u010desto sadr\u017ei tajne specifi\u010dne za aplikaciju za Laravel<\/em> i druge veb aplikacije zasnovane na PHP<\/em>-u. Zlonamjerni softver sadr\u017ei listu poznatih putanja do ove datoteke, kao i sli\u010dne datoteke i direktorije za druge veb tehnologije. Legion<\/em> poku\u0161ava da pristupi ovim .env<\/em> datotekama tako \u0161to nabraja ciljni server sa listom tvrdo kodiranih putanja u kojima se tipi\u010dno nalaze ovi promjenljivi fajlovi okru\u017eenja. Ako su ove putanje javno dostupne, zbog pogre\u0161ne konfiguracije, datoteke se \u010duvaju i niz regularnih izraza se pokrec\u0301e preko njihovog sadr\u017eaja.<\/span><\/p>\n

 <\/p>\n

AWS<\/em>, SMS<\/em> i PHP<\/em> zloupotreba<\/span><\/strong><\/h4>\n

Legion<\/em> c\u0301e poku\u0161ati da preuzme korisni\u010dke podatke za prijavu sa nesigurnih ili pogre\u0161no konfigurisanih veb servera. Od posebnog interesa za one koji se bave bezbjedno\u0161\u0107u u oblaku je sposobnost zlonamjernog softvera da preuzme AWS<\/em> podatke za prijavu. Ne samo da autor tvrdi da ih njegov zlonamjerni softver prikuplja sa ciljnih lokacija, ve\u0107 uklju\u010duje i funkciju napada grubom silom kako bi do\u0161ao do AWS<\/em> podatka za prijavu.<\/span><\/p>\n

Bez obzira na koji na\u010din do\u0111e do korisni\u010dkih podataka za prijavu, zlonamjerni softver \u0107e poku\u0161ati dodati IAM<\/em> korisnika sa korisni\u010dkim imenom ses_legion<\/em>. Nakon toga, Legion<\/em> poku\u0161ava da kreira politiku zasnovanu na politici kojom Amazon<\/em> upravlja administratorskim pristupom. Ova upravljana politika omogu\u0107ava pun pristup i mo\u017ee delegirati dozvole za sve usluge i resurse u okviru AWS<\/em> servisa. Ovo uklju\u010duje upravlja\u010dku konzolu, pod uslovom da je pristup aktiviran za korisnika.<\/span><\/p>\n

Pored svih navedenih mogu\u0107nosti, Legion<\/em> tako\u0111e uklju\u010duje tradicionalnu funkcionalnost alata za hakovanje koja se ogleda u mogu\u0107nosti da se iskoriste dobro poznate PHP <\/em>ranjivosti za ubacivanje veb komandnog okru\u017eenja ili daljinsko izvr\u0161avanje zlonamjernog k\u00f4da.<\/span><\/p>\n

 <\/p>\n

Nova verzija<\/strong><\/span><\/h5>\n

\u00a0<\/strong><\/span>Sigurnosni istra\u017eiva\u010di su nedugo poslije prvog uzorka Legion<\/em> zlonamjernog softvera, prona\u0161li i noviju verziju koja u odnosu na prethodni ima neke nove mogu\u0107nosti.<\/span><\/p>\n

U prvom uzorku sigurnosni istra\u017eiva\u010di su prona\u0161li k\u00f4d koji je trebao da iskoristi bazu ukradenih korisni\u010dkih podataka u kombinaciji sa odgovaraju\u0107om Internet lokacijom i pokrene prijavu preko SSH<\/em> protokola, pod pretpostavkom da se ukradeni korisni\u010dki podaci jo\u0161 uvijek upotrebljavaju. Me\u0111utim, on nije bio funkcionalan i ozna\u010den je samo kao komentar. U novoj verziji Legion<\/em> zlonamjernog softvera ova funkcija je omogu\u0107ena.<\/span><\/p>\n

U prvoj verziji zlonamjerni softver traga za promjenljivim datotekama okru\u017eenja na pogre\u0161no konfigurisanim veb serverima koji koriste radna okru\u017eenja zasnovana na PHP<\/em>-u kao \u0161to je Laravel<\/em>. Analizom promjenljivih okru\u017eenja se vidi da u a\u017euriranoj verziji Legion<\/em> tra\u017ei podatke specifi\u010dne za DynamoDB<\/em>, Amazon<\/em> CloudWatch<\/em> i AWS<\/em> Owl<\/em>.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Legion<\/em> je alat za hakovanje koji se aktivno razvija, a posebno je dizajniran da iskori\u0161tava ranjive veb aplikacije u poku\u0161aju da prikupi korisni\u010dke podatke za prijavu. Legion<\/em> se prvenstveno fokusira na preuzimanje korisni\u010dkih podatke za prijavu za SMTP<\/em> i SMS<\/em> zloupotrebu.<\/span><\/p>\n

Me\u0111utim, a\u017euriranje u novoj verziji pokazuje pro\u0161irenje obima, sa novim mogu\u0107nostima kao \u0161to je mogu\u0107nost kompromitovanja SSH<\/em> servera i preuzimanja dodatnih korisni\u010dkih podataka za prijavu specifi\u010dnih za AWS<\/em> iz Laravel<\/em> veb aplikacija. Jasno je da zlonamjerni autor cilja usluge u oblaku i da napreduje sa svakom novom verzijom.<\/span><\/p>\n

Zlonamjerni softver se najvi\u0161e oslanja na pogre\u0161ne konfiguracije u veb server tehnologijama i radnim okru\u017eenjima zasnovanim Laravel<\/em>-u, pa se preporu\u010duje da korisnici ovih tehnologija pregledaju svoje postojec\u0301e bezbjednosne procese i osiguraju da su tajne na odgovaraju\u0107i na\u010din uskladi\u0161tene.<\/span><\/p>\n

Korisnici AWS<\/em> servisa treba da budu svjesni da Legion<\/em> cilja IAM<\/em> i usluge kao \u0161to je SES<\/em>. Napada\u010di mijenjaju registracioni k\u00f4d IAM<\/em> korisnika da uklju\u010di oznaku \u201eVlasnik<\/em>\u201c (eng. Owner<\/em>) sa tvrdo kodiranom vredno\u0107u \u201ems.boharas<\/em>\u201c. AWS<\/em> administratori bi trebalo da obrate pa\u017enju na korisni\u010dke naloge sa ovom oznakom, jer je to jasan pokazatelj kompromitovanja zlonamjernim softverom i mo\u017ee se koristiti za detekciju i istrage.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije Cado Labs su otkrili novi alat za prikupljanje korisni\u010dkih podatka i hakovanje, baziran na programskom jeziku Python. Ovaj zlonamjerni softver nazvan je Legion i namijenjen je za iskori\u0161tavanje razli\u010ditih servisa koji...<\/p>","protected":false},"author":1,"featured_media":4880,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[401,393,396,395,394,93,397,288,191,124,399,398,320,400,126],"class_list":["post-4876","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-amazon","tag-aws","tag-cpanel","tag-laravel","tag-legion","tag-malware","tag-paypal","tag-php","tag-python","tag-shodan","tag-sms","tag-stripe","tag-telegram","tag-twilio","tag-vulnerability"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4876","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4876"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4876\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4880"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4876"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4876"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4876"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}

Jedna od karakteristika Legion<\/em> zlonamjernog softvera je i mogu\u0107nost isporuke SMS<\/em> ne\u017eeljenih poruka korisnicima mobilnih mre\u017ea u Sjedinjenim Dr\u017eavama. Da bi ovo postigao, zlonamjerni softver koristi Internet stranicu www.randomphonenumbers.com<\/a> uz upotrebu Python BeautifulSoup HTML<\/em> biblioteku za ra\u0161\u010dlanjavanje, a rudimentarna funkcija generatora brojeva se zatim koristi za pravljenje liste telefonskih brojeva za ciljanje. Kako bi mogao poslati SMS<\/em> poruke, vr\u0161i se provjera sa\u010duvanih SMTP<\/em> podataka za prijavu koje je zlonamjerni softver ve\u0107 preuzeo kroz jedan od modula za prikupljanje podatka.<\/span><\/p>\n