多機能なAlienFox

AlienFoxというものが観測されています。
AlienFoxは多くの攻撃ツールの詰め合わせのようなものとなっていて多機能です。
その機能は次々に拡張されてきています。
どんなものなのでしょうか。

• ターゲットは複数のクラウドサービスプロバイダー
  AlienFoxは一般的なサービスからAPIキーとシークレットを盗み取ります。
  現時点でターゲットとなっていることがわかっているのは次の18種のサービスです。
  1and1、AWS、Bluemail、Exotel、Google Workspace、Mailgun、Mandrill、Nexmo、Office365、OneSignal、Plivo、Sendgrid、Sendinblue、Sparkpostmail、Tokbox、Twilio、Zimbra、Zoho

• AlienFoxは設定ミスを狙う
  AlienFoxは複数のツールの詰め合わせですが、それらのツールは公開されている仕組みの設定ミスを狙ってきます。
  狙われる公開されている仕組みは例えば次のようなものです。
  Laravel、Drupal、Joomla、Magento、Opencart、Prestashop、WordPress
  あぁ、またか、というものが並んでいます。

• 設定ミスのあるサイトのリスト化
  攻撃者は人手で攻撃対象を選択するという方法を選びません。
  攻撃対象を選択する部分もツールで処理します。
  ツールのタイプはターゲット生成スクリプトです。
  IPをブルートフォースのように検査していき、オープンソースインテリジェンスプラットフォームのWeb APIを使用して、ターゲット候補の情報を作り出します。

では、AlienFoxに含まれるツールにはどのようなものがあるのでしょう。
いくつか見てみましょう。

• awses.py
  名前の示すようにAWSのSESに関連するツールです。
  特権ユーザの情報を収集するなどの機能を持ちます。

• ssh-smtp.py
  資格情報に関連する構成ファイルを読み取るなどして資格情報を盗み取ります。
  そしてSSHでの接続ができるかなどを検査します。
  CVE-2022-31279を悪用することを狙った機能も搭載されています。

• Lar.py
  このツールはLaravelの設定ファイルを狙います。
  Laravelは、MVCのWebアプリケーション開発用のオープンソースのPHPで書かれたWebアプリケーションフレームワークです。
  Lar.pyはLaravelの設定ファイルからキーとシークレットを抽出します。
  URL、AWS ACCESS KEY、AWS SECRET KEY、AWS REGIONなどがセットになった情報を出力できます。
  またさらに、メールのホスト名、メールのポート番号、メールアドレス、メールのパスワード、メール送信時にFromに利用される名前情報なども出力することができます。

APIは便利です。
適切に組み合わせて利用することで、簡単に高機能な新しいアプリケーションを作成することができます。
しかし利便性と同時に危険であるともいえます。
便利に使えるのは正規の利用者だけではありません。
APIの有効性を失うことなく利便性を保つことは容易ではありませんが、そこで大きなポイントとなるのは最小特権の原則をいかに保つことができるかということに思えます。

たしかに最小特権の状態を正しく保つことは面倒に感じることもあります。
何でも実施できる特権ユーザでなんでも実施してしまえば、新しいものを作ることは難しくありません。
しかしその行動を選択することは大きな代償と引き換えになってしまう可能性があるということを認識する必要がありそうです。

参考記事（外部リンク）：Dissecting AlienFox | The Cloud Spammer’s Swiss Army
Knife
www.sentinelone.com/labs/dissecting-alienfox-the-cloud-spammers-swiss-army-knife/