凭据收集工具 Legion 瞄准额外的云服务

news2024/11/25 7:32:49

 

黑客在受感染的 Web 服务器上部署的名为 Legion 的商业恶意软件工具最近已更新,可以提取额外云服务的凭据以通过 SSH 进行身份验证。

这个基于 Python 的脚本的主要目标是获取存储在电子邮件提供商、云服务提供商、服务器管理系统、数据库和支付系统的配置文件中的凭据。

这些被劫持的资源使攻击者能够发起电子邮件和短信垃圾邮件活动。

云取证和事件响应公司 Cado Security 的研究人员在一份新报告中表示:最近的更新展示了范围的扩大,具有新功能,例如能够破坏 SSH 服务器并从 Laravel 网络应用程序检索额外的 AWS 特定凭证。

很明显,开发人员针对云服务的目标在每次迭代中都在推进。

Legion 在一个私人 Telegram 群组上出售,并具有扩展其功能的附加模块,包括:

  • 使用 Shodan API 查找目标

  • 枚举易受攻击的 SMTP 服务器

  • 启动针对 Web 应用程序的远程代码执行 (RCE) 攻击

  • 利用易受攻击的 Apache 版本

  • 暴力破解 cPanel 和 WebHost Manager (WHM) 帐户

  • 部署 webshells其他滥用 AWS 服务的工具

研究人员上个月首次记录了 Legion 的功能,但该恶意软件似乎与 Lacework 的研究人员在 12 月分析并命名为 AndroxGh0st 的工具相似。

尽管如此,Cado 分析的新改进样本在多引擎扫描站点 Virus Total 上的检测为零,这意味着其开发人员精通规避检测。

从服务器劫持到垃圾邮件

使用 Legion 的攻击者的最终目标是使用被劫持的简单邮件传输协议 (SMTP) 凭据,通过电子邮件和 SMS 发起大规模垃圾邮件活动。

一些服务还通过 SMTP 提供电子邮件到 SMS 的功能,Legion 包含一个脚本,用于以这种方式向大多数美国移动运营商发送 SMS。

一些针对的云平台凭证似乎也与这个最终目标有关。例如,对收集的 AWS IAM 凭证进行测试以查看它们是否适用于 Amazon Simple Email Service (SES)。

该工具还尝试暴力破解电子邮件营销平台 SendGrid 的凭据。

Legion 凭证收集功能针对的其他服务包括 Twilio、Nexmo、Stripe/Paypal、AWS 控制台凭证、AWS SNS、S3 和 SES 特定凭证、Mailgun、Plivo、Clicksend、Mandrill、Mailjet、MessageBird、Vonage、Nexmo、Exotel、 Onesignal、Clickatel 和 Tokbox。

一些有针对性的凭据似乎并不直接与垃圾邮件相关联,但可用于支持攻击者的操作,例如数据库和网络托管管理面板。 

观察到的新变体还增加了对提取 DynamoDB、Amazon CloudWatch 和 AWS Owl 凭证的支持,AWS Owl 是一种用于监控 AWS 账户更改的开源工具。

利用漏洞和错误配置

攻击者通过利用 PHP、Apache 或内容管理解决方案中的漏洞来部署 Legion,这些漏洞允许他们部署 Webshell 或在服务器上远程执行代码。

然后,Legion 利用 Web 服务器权限、PHP 应用程序或 PHP 框架(如 Laravel)中的常见错误配置来访问配置文件和包含攻击者知道存储在特定位置的环境变量的文件。

此类文件通常包含 Web 应用程序运行所需的数据库和服务的机密和凭证。

Legion 试图通过使用这些环境变量文件通常驻留的硬编码路径列表枚举目标服务器来访问这些 .env 文件。如果这些路径可以公开访问,由于配置错误,文件将被保存,并且一系列正则表达式会在其内容上运行。

新的 Legion 变体现在还尝试使用在配置文件中找到的任何数据库用户名和配对通过 SSH 访问服务器,假设数据库用户可能也存在于 Linux 系统上并且使用了相同的密码。

SSH 访问是通过名为 Paramiko 的 Python 库实现的,该库实现了 SSH 协议。这段代码也出现在以前版本的 Legion 中,但被注释掉了,所以它是不活跃的。

如果SSH登录成功,恶意软件会执行Linux uname -a shell命令,打印出服务器名称、CPU架构、操作系统版本等系统基本信息。

这告诉攻击者登录是有效的,并且可以用于将来对服务器的持久访问。

建议网络应用程序的开发人员和管理员定期审查对应用程序内部资源的访问,并寻找替代方法来将秘密存储在环境文件中。

如果恶意软件破坏了 AWS 账户,它会创建一个 IAM 用户,并将标签“Owner”设置为值“ms.boharas”。

研究人员表示,这可以作为帐户遭到入侵的标志,并可用于构建自动检测。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/574637.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Python】循环语句 ③ ( while 嵌套循环案例 - 打印乘法表 | print 不换行打印 | tab 制表符 )

文章目录 一、print 不换行打印二、tab 制表符三、while 嵌套循环案例 - 打印乘法表 一、print 不换行打印 使用 print 函数打印字符串 , 会进行自动换行 ; Python 中的 print 函数原型如下 : def print(self, *args, sep , end\n, fileNone): 默认情况下 , print 打印字符串…

MVC模式和三层架构(附综合案例增删改查)

MVC模式和三层架构 MVC模式 MVC 是一种分层开发的模式,其中: M:Model,业务模型,处理业务 V:View,视图,界面展示 C:Controller,控制器,处理请求…

【ISO14229_UDS刷写】-5-$38诊断服务RequestFileTransfer理论部分

总目录:(单击下方链接皆可跳转至专栏总目录) 《UDS/OBD诊断需求编辑工具》总目录https://blog.csdn.net/qfmzhu/article/details/123697014 目录 1 $0x38 RequestFileTransfer诊断服务描述 2 0x38服务请求消息 2.1 0x38服务请求消息定义…

MongoDB window安装教程

官网下载 MongoDB:https://www.mongodb.com/try/download/community MongoDB shell脚本:https://www.mongodb.com/try/download/shell,下载后解压到MongoDB安装目录创建数据库文件的存放位置 在data文件夹下创建 db 文件夹(启动 …

【composer】如何在本地开发、调试Composer包

1、准备工作 创建两个空文件夹 |- TestProject # 用于composer引入测试 |- TestPackage # composer的自定义扩展包1.1 初始化 在TestProject和TestPackage分别执行: composer init一路默认或者自己按需修改引导中的参数完成composer初始化 例如: Pa…

C++11常用的一部分新特性

C11 统一的列表初始化{}初始化std::initializer_list 声明autodecltypenullptr STL中一些变化新容器已有容器的新接口 右值引用和移动语义左值引用和右值引用右值引用使用场景和意义右值引用引用左值及其一些更深入的使用场景分析完美转发 新的类功能默认…

【ISO14229_UDS刷写】-4-$37诊断服务RequestTransferExit理论部分

总目录:(单击下方链接皆可跳转至专栏总目录) 《UDS/OBD诊断需求编辑工具》总目录https://blog.csdn.net/qfmzhu/article/details/123697014 目录 1 $0x37 RequestTransferExit诊断服务描述 2 0x37服务请求消息 2.1 0x37服务请求消息定义…

经典 SQL 数据库笔试题及答案整理

马上又是金三银四啦,有蛮多小伙伴在跳槽找工作,但对于年限稍短的软件测试工程师,难免会需要进行笔试,而在笔试中,基本都会碰到一道关于数据库的大题,今天这篇文章呢,就收录了下最近学员反馈上来…

PLX31-EIP-MBTCP 以太网/IP到Modbus TCP/IP

PLX31-EIP-MBTCP ProSoft Technology的EtherNet/IP to Modbus TCP/IP通信网关允许在支持EtherNet/IP的控制器或设备与Modbus TCP/IP控制器或设备之间进行高速双向数据传输。 我们的Modbus TCP/IP驱动程序具有多种客户端和服务器功能,可实现更快的数据传输。此外&a…

策略路由+静态路由+ip link+healthcheck检测外网物理链路提高网络的可靠性

一、适用环境 1、外网链路有防火墙Firewall出口,外网也有路由器Router出口。 2、用户量大需要多条外网链路负载均衡,多条链路也可以互为主备。 3、有ip专线网络(上下行对称)与拨号光纤(上下行非对称)网络配…

PFEA112-65 3BSE050091R65 满足正确的机械和电气安装

力传感器的工作原理对其性能有很大影响。它还影响整个称重传感器的刚性和无振动程度,以及其稳健性和过载耐受性。所有这些因素都会影响卷筒纸加工机械。ABB的Pressductor传感器技术由于当称重传感器受到机械力时的电磁场。 这是一个操作起源于冶金现象的原理力改变…

AI:探究下前端组件化设计的实现方法及其重要性

文章目录 1. 什么是前端组件化设计1.1 定义前端组件1.2 什么是组件化设计 2. 组件化设计的重要性2.1 提高开发效率2.2 降低维护成本2.3 促进代码复用 3. 组件化设计的原则和模式3.1 单一职责原则3.2 可复用性原则3.3 可拆分性原则3.4 可扩展性原则3.5 微型模式3.6 组件库模式3.…

Chat-GPT 聚合平台 Poe:集成多个 AI 聊天机器人

Chat-GPT 聚合平台 Poe:集成多个 AI 聊天机器人 介绍 Poe 是知名问答社区 Quora 推出的 AI 平台——开放探索平台 (Platform for Open Exploration, Poe)。Poe 集成了多个基于大型语言模型的聊天机器人,包括 ChatGPT,以及 Sage、Claude、Dr…

代码随想录算法训练营15期 Day 3 | 203.移除链表元素 、707.设计链表 、206.反转链表

今日任务 链表理论基础 203.移除链表元素 707.设计链表 206.反转链表 链表理论基础 链表是一种通过指针串联在一起的线性结构,每一个节点由两部分组成,一个是数据域一个是指针域(存放指向下一个节点的指针),最后…

代码随想录算法训练营第五十三天 | 子序列系列2

1143.最长公共子序列 文档讲解:代码随想录 (programmercarl.com) 视频讲解:动态规划子序列问题经典题目 | LeetCode:1143.最长公共子序列_哔哩哔哩_bilibili 状态:dp定义想不到,看了dp定义能写出后面部分。 思路 动规…

ab压力测试工具使用

AB测试工具使用 参考网址: https://pdai.tech/md/devops/linux/linux-ab-test.html 推荐 java 体系学习网址 https://pdai.tech/ 安装 基于 Linux 操作系统 , 在 centos7 中安装 ab 测试工具 yum -y install httpd-tools测试安装是否成功:…

【ISO14229_UDS刷写】-1-$34诊断服务RequestDownload理论部分

总目录:(单击下方链接皆可跳转至专栏总目录) 《UDS/OBD诊断需求编辑工具》总目录https://blog.csdn.net/qfmzhu/article/details/123697014 目录 1 $0x34 RequestDownload诊断服务描述 2 0x34服务请求消息 2.1 0x34服务请求消息定义 2.…

11.TMS320C5509V+Win10+CCS8开发环境搭建

一、简介 众所周知,相较于TMS320F28335,TMS320C5509V属于较老的平台,在新版本的CCS版本上支持一直是一个问题。 最基本的问题便是,无法新建基础工程。各开发版厂商提供的例程无法在CCS8上使用,只支持CCS3.3环境&…

chatgpt赋能python:Python分词库的介绍

Python 分词库的介绍 Python 分词库是一个用于将一段自然语言文本分解为单词序列的工具。这对于自然语言处理和文本分析来说是一个重要的工具。Python 分词库可以将大量的文本数据转化成机器可读的、易于处理的数据。在 SEO 优化方面,Python 分词库也起到了关键的作…

华为云安装与使用

华为云安装与使用 文章目录 华为云安装与使用下载地址修改 /etc/hosts设置 AK/SK/Endpoint查看桶名查看桶内文件通过 ./obsutil config -interactive 方式设置配置文件问题 obsutil 命令行快速使用操作步骤操作桶上传文件约束与限制参数说明更多上传示例 删除下载对象 Referenc…