Investigación de FBot | Malware basado en Python dirigido a servicios de pago y en la nube


resumen ejecutivo

FBot es una herramienta de piratería basada en Python que se diferencia de otras familias de malware en la nube y se dirige a servidores web, servicios en la nube y plataformas SaaS como AWS, Office365, PayPal, Sendgrid y Twilio. FBot es similar en funcionalidad y diseño al ladrón de información en la nube de Legion, aunque no utiliza el código Androxgh0st, ampliamente utilizado. Las características clave incluyen recolección de credenciales para ataques de spam, herramientas de secuestro de cuentas de AWS y la capacidad de habilitar ataques contra PayPal y varias cuentas SaaS. FBot presenta una huella más pequeña en comparación con herramientas similares, lo que demuestra el potencial para el desarrollo privado y un enfoque de distribución más específico.

descripción general

La escena de las herramientas de piratería en la nube está muy entrelazada y muchas herramientas dependen del código de otras. Esto es especialmente cierto para familias de malware como AlienFox, Greenbot, Legion y Predator. Estas familias de malware comparten código para un módulo de extracción de credenciales llamado Androxgh0st.

Hemos identificado herramientas que están relacionadas con estas familias, pero que son distintas de ellas. FBot es una herramienta de ataque basada en Python con la capacidad de apuntar a servidores web, servicios en la nube y tecnologías de software como servicio (SaaS). Las características incluyen:

Servicios web de Amazon (AWS) Office365PayPalSendgridTwilio

FBot es único en el sentido de que claramente no emplea el código Androxgh0st que se encuentra comúnmente en herramientas de piratería similares, aunque la primera mención de FBot es más reciente que cuando Androxgh0st fue descubierto por primera vez hace un año. Sin embargo, existen algunas conexiones con el ladrón de información en la nube de Legion, por lo que parece probable que los mantenedores de Legion hayan adaptado el código de FBot a su herramienta.

FBot está diseñado principalmente para secuestrar servicios web, SaaS y la nube. También hay un enfoque secundario en la obtención de cuentas para realizar ataques de spam. Los atacantes pueden utilizar capacidades de recolección de credenciales para obtener acceso inicial y venderlo a otras partes.

Esta herramienta incluye varias utilidades, como un generador de direcciones IP y un escáner de puertos. También hay una función de verificación de correo electrónico que utiliza un proveedor de servicios de tecnología de Indonesia para verificar su dirección de correo electrónico.

Menú FBot y lista de funciones

Orientación de AWS

FBot tiene tres funciones específicas para ataques a cuentas de AWS. El primero es el generador de claves API de AWS, que es manejado por la función aws_generator. Esta función genera una ID de clave de acceso de AWS aleatoria agregando 16 caracteres alfabéticos seleccionados aleatoriamente al prefijo AKIA estándar. Luego genera una clave privada a partir de 40 letras del alfabeto seleccionadas al azar.

Aunque FBot claramente no ha adoptado el módulo Androxgh0st, la investigación sobre los ladrones de Legion y las variantes más antiguas de Androxgh0st ha resaltado las mismas características y no ha cambiado mucho. Estamos de acuerdo con la conclusión de los investigadores antes mencionados de que es poco probable que esta función aplique fuerza bruta a las credenciales de cuentas debido a la gran cantidad de combinaciones de claves de acceso y contraseñas disponibles.

La segunda característica de AWS es Mass AWS Checker, que es manejada por la función aws_checker. Esta función verifica los detalles de configuración de correo electrónico de AWS Simple Email Service (SES), como las cuotas y tasas máximas de envío, y la cantidad de mensajes enviados en las últimas 24 horas, para maximizar el potencial de ataques de spam contra cuentas específicas. Además, cree una nueva cuenta de usuario con el nombre de usuario iDevXploit y la contraseña MCDonald2021D#1337 y adjunte la política AdministratorAccess para elevar los privilegios de la nueva cuenta. A diferencia de otras herramientas de ataque en la nube como AlienFox, FBot no elimina las cuentas comprometidas utilizadas por los atacantes para obtener acceso.

La tercera y última característica de AWS es AWS EC2 Checker, que tiene la descripción Obtener límite de VCPU de EC2 y es manejado por la función ec_checker. Esta función lee una lista de ID de AWS de un archivo de texto en el formato AccessKey|SecretKey|Región. El script utiliza estos valores para verificar las cuotas de servicio EC2 para la cuenta de destino. El menú FBot resalta que puede usarlo para verificar los detalles de vCPU, pero el resultado no es tan simple. Los resultados de la consulta describen la configuración y las capacidades de EC2 de su cuenta, incluidos los tipos de instancias EC2 que puede ejecutar. El script recorre en iteración la lista especificada de regiones de AWS, ejecuta la consulta nuevamente para cada región y registra los resultados en un archivo de texto.

Ejemplo de salida de cuota EC2 capturada por la función ec_checker de FBot

Orientación a SaaS y servicios de pago

FBot tiene varias funciones dirigidas a servicios de pago y configuraciones SaaS.

La funcionalidad del Validador de PayPal está a cargo de paypal_validator. Esta función verifica el estado de su cuenta PayPal accediendo a una URL codificada utilizando la dirección de correo electrónico leída de la lista de entrada. El correo electrónico se agregará a la solicitud en la sección de detalles del cliente para verificar si la dirección de correo electrónico está asociada con su cuenta PayPal.

Este script inicia una solicitud de API de Paypal a través de hxxps://www.robertkalinkin.com/index.php, un sitio web de ventas minoristas para un diseñador de moda lituano. Curiosamente, todas las muestras de FBot identificadas utilizan este sitio web para autenticar solicitudes de API de PayPal, al igual que algunas de las muestras de Legion Stealer.

PayPal Validator realiza una solicitud a este sitio utilizando una identificación de producto falsa y detalles de cliente falsos y analiza la respuesta en busca de un mensaje de estado que indique el éxito.

Datos de solicitud de verificación de PayPal

FBot también apunta a varias plataformas SaaS como Sendgrid y Twilio. La función Sendgrid es un generador de claves API de Sendgrid que genera claves de Sendgrid en el siguiente formato:

SG. {de 22 caracteres [A-Z0-9-_]}. {1 carácter más del rango anterior}

La función Twilio toma como entrada un SID de Twilio y un token de autenticación de Twilio separados por una tubería. Luego, la función verifica la combinación de SID y token de autenticación para verificar los detalles de la cuenta, como el saldo, la moneda y la lista de números de teléfono asociados con la cuenta.

Características del marco web

FBot tiene la capacidad de verificar si una URL aloja archivos del entorno Laravel y extraer credenciales de esos archivos. La función Hidden Config Scanner toma una URL como entrada y realiza una solicitud HTTP GET a varios URI relacionados con PHP, Laravel y AWS que pueden almacenar valores de configuración, como:

_profiler/phpinfo config.js .env config/aws.yml .env.bak info.php aws.yml phpinfo aws/credentials phpinfo.php

La respuesta se analiza en busca de claves y secretos relacionados con los siguientes servicios y los resultados se escriben en un archivo de texto.

AWS MandrillApp Coinpaids Office365 DB_USERNAME (base de datos genérica) Plivo Ionos Sendgrid MAIL_PASSWORD (SMTP genérico) Twilio Mailgun

FBot también apunta a varios sistemas de gestión de contenidos (CMS) populares. La función cms_scanner contiene mapas de marco web y CMS para expresiones regulares (regex) asociadas con servicios. El programa realiza una solicitud a la URL de destino y analiza la respuesta para las siguientes tecnologías:

Codeigniter Laravel phpBB Discuz Lithium PrestaShop Drupal Magento vBulletin Esportsify MediaWiki Whmcs FluxBB Moodle WordPress Invision Ning YetAnotherForum Jive OpenCart ZenCart Joomla osCommerce Zimbra

clasificación

FBot se basa en valores de configuración proporcionados a través de un archivo de configuración (.ini) o un encabezado que inicia la clase principal. He identificado una versión que se compila como ejecutable de Windows.

La cadena iDevXploit está presente en todos los ejemplos. Este identificador está acreditado como el autor de la clase principal. Además, la función aws_checker deja artefactos en la consola de AWS de destino. Cuando FBot crea un nuevo usuario en su cuenta de AWS, el nombre de usuario iDevXploit es coherente en todas las muestras y la contraseña es MCDonald2021D#1337.

A diferencia de muchas herramientas similares de piratería en la nube, FBot no incluye referencias al código abierto Androxgh0st que se encuentra en herramientas como AlienFox, GreenBot y Predator. Androxgh0st y FBot tienen una lógica muy similar implementada en el sentido de que ambos analizan archivos de configuración del entorno en busca de credenciales relacionadas con servicios de nube y correo electrónico similares, pero sus implementaciones son diferentes y no parecen haber ningún código.

La forma en que la herramienta extrae las URL para configuraciones PHP tiene una superposición considerable con el ladrón de información en la nube de Legion. Sin embargo, FBot es mucho más pequeño y tiene menos funciones que Legion. El tamaño de muestra para FBot es de aproximadamente 200 KB, mientras que para Legion es de 800 a 1200 KB.

conclusión

FBot representa otra familia de herramientas que continúa la tendencia de tomar prestado el código de herramientas de ataque en la nube de una herramienta a otra manteniendo sus características únicas. Estamos analizando muestras desde julio de 2022 hasta enero de 2024 y vemos un crecimiento continuo para esta herramienta. Sin embargo, hay relativamente pocos cambios entre versiones y no está claro si se mantienen activamente.

Al momento de escribir este artículo, no hemos identificado un canal de distribución específicamente para FBot. Esto es lo que diferencia a esta herramienta de otros ladrones de información en la nube que se venden comúnmente en Telegram. El bot hace referencia al canal de Telegram buffer_0x0verfl0w, que se ha asociado con varios crimeware, pero que ya no está activo. Sin embargo, hemos encontrado indicios de que FBot es producto de un desarrollo privado, por lo que las construcciones recientes pueden estar distribuidas por operaciones pequeñas. Esto es consistente con el tema de que las herramientas de ataque en la nube son “bots privados” personalizados para compradores individuales, un tema que se ve a menudo en las versiones de AlienFox.

Las organizaciones deben habilitar la autenticación multifactor (MFA) para los servicios de AWS a los que se puede acceder mediante programación. Cree alertas para notificar a su equipo de operaciones de seguridad cuando se agreguen nuevas cuentas de usuario de AWS a su organización y, si es posible, cuando se agreguen nuevas identidades o haya cambios importantes en la configuración de su aplicación de correo electrónico masivo SaaS. Cree una alerta para .

Señales de compromiso

Notas SHA1 1ad78e99918fd66ed43d42a93d2f910a2173b3c5 Bot.py, versión de enero de 2024 de FBot 2becd32162b2b0cb1afc541e33ace3a29dad96f1 Versión de abril de 2023 de FBot 8ba3fca4de ada6dbdc94b17a0 c3c55a0b785331e Bot.py, versión de julio de 2022 de FBot iDevXploit Nombre de usuario de AWS IAM codificado MCDonald2021D#1337 Contraseña de usuario de AWS IAM codificado



Fuente: https://www.sentinelone.com/labs/exploring-fbot-python-based-malware-targeting-cloud-and-payment-services/