Androxgh0st Malware: Everything You Need to Know

Androxgh0st 是一種基於 Python 的腳本惡意軟體,透過掃描 .env 中的資訊來攻擊使用 Laravel 的應用程式(例如 AWS、Twilio、Office 365 和 SendGrid) 檔案。 這種形式的惡意軟體可以提取登入詳細資訊等機密訊息,並可以破解簡單郵件傳輸協定(SMTP)以利用應用程式開發界面和 Web shell 開發。

申請示範 端點資安買家指南

安德羅克斯 GH0ST 的工作原理

Androxgh0st 主要針對 Laravel 應用程序,這是許多網路應用程式中使用的領先 PHP 框架。 透過掃描 .env 檔案,Androxgh0st 可以識別並從這些文件中提取敏感信息,大多數情況下是 Amazon Web 服務等平台的登錄詳細信息。

安卓 XGH0ST 分幾個階段工作:

  • 第一步,殭屍網絡掃描:使用殭屍網絡,AndroXgh0st 將掃描任何積極使用 Laravel 框架的網站。 透過使用此網路應用程式框架識別站點,他們可以建立一個潛在目標網站清單。
  • 第二步,.env 掃描:在每個識別的網站上,AndroXgh0st 將掃描域的根層級,尋找任何暴露的 .env 仍包含敏感資料或登入認證的檔案。
  • 第三步,訪問:威脅參與者發送 GET 或 POST 請求,然後查看連接到網站的密碼、用戶名或登錄密鑰。 傳入的 POST 和 GET 請求是 AndroxGH0st 正在進行的主要威脅指標之一。

一旦威脅行為者擁有雲端憑證,他們就會存取作業系統並利用該作業系統為企業帶來更多問題。 Androxgh0st 還允許駭客將更多惡意軟體下載到網站。 通過通過 AndroxGH0st 下載惡意文件,威脅參與者可以在網站上創建進一步的非合法頁面,從而使他們可以訪問網站的後門。

然後,直接後門連接可以為惡意程序提供對網站進一步控制並未經授權訪問連接的數據庫。

安卓克斯 GH0ST 的影響

AndroxGH0st 為威脅參與者提供了遠端訪問網站和商業系統的途徑。 一旦他們獲得存取權限,他們就可以將更多惡意軟體下載到系統上。 黑客可以使用 AndroxGH0st 破壞系統上的任何敏感數據。

此外,Androxgh0st 可以開始掃描您的系統是否有任何其他脆弱性。 他們在您的系統中停留的時間越長,這種脆弱性掃描就越廣泛,因此及時回應對於防禦這種形式的惡意軟體至關重要。

Androxgh0st 的另一個主要影響是威脅參與者能夠在 AWS 等服務上建立新實例。 這些參與者最賺錢的追求之一就是使用 AWS 雲端運算實例作為加密貨幣挖礦的供應源。 無需支付自己的資源,他們可以擴展惡意操作而不會產生成本。

通過 AndroxGH0st 入侵的系統也可以作為其他網絡安全攻擊的作業基地。 例如,使用 AWS 伺服器的網路資源可能有助於發動DDoS 攻擊並引發進一步的資料外洩。

由於 Androxgh0st 的影響範圍非常嚴重,CISA 已將該安全缺陷添加到其已知易被利用的脆弱性清單中,並敦促公司採取措施減輕威脅。

緩解 Androxgh0st 惡意軟體的 6 個最佳實踐

以下是一些有助於防範 Androxgh0st 惡意軟體威脅的最佳實踐:

  1. 查看 .env 檔案:請務必查看您依賴 Laravel 的服務和平台,檢查您是否存儲在 .env 中的敏感數據 檔案。 如果可能,請將其刪除以減少 AndroxGH0st 所構成的威脅。
  2. 重組關鍵架構:保護自己免受 AndroxGH0st 威脅的另一個有效措施是查看當前的活動服務,以檢查哪些服務已連接到互聯網。 移除任何不明確需要互聯網訪問的系統的互聯網訪問。
  3. 更新 Laravel 框架:定期軟體更新將有助於修補提供者在其平台中發現的任何已知脆弱性。 當您在軟體可用後立即更新軟體時,您可以確保您的業務免受先前版本可能遭受的任何脆弱性的影響。 更新軟體還可以幫助您的企業遵守多項合規法規。
  4. 監控威脅指標:定期對您的系統進行掃描和審查以查找威脅指標。 與 Androxgh0st 或任何其他惡意軟體攻擊密切相關的多個威脅指標可能會提醒您的網路安全團隊存在攻擊者。 早期偵測是您可以採用最有效的策略之一來降低漏洞或攻擊的嚴重程度。
  5. 強制執行訪問控制政策:當公司缺乏足夠的訪問控制政策和身份驗證系統時,AndroxGH0st 攻擊將非常成功。 如果威脅執行者能夠找到登入憑證,缺少存取控制和驗證路徑將保證他們成功滲入您的系統。 額外的存取控制政策將限制他們的存取權限,並為您提供寶貴的時間來建立更全面的防禦。
  6. 利用端點資安:端點資安系統是您的企業針對惡意軟體威脅所採取的最有效的防禦措施之一。 端點資安不會減少系統中已有惡意軟體的影響,而是會識別惡意軟體威脅指標並首先阻止其安裝在您的系統上。 這是一種全面的惡意軟體分析和防禦形式,可讓您免受眾多威脅媒介的侵害。

Androxgh0st 帶Check Point保護

AndroxGH0st 對於任何 Laravel 框架和在其系統中使用它們的網站構成了重大風險。 一旦成功,Androxgh0st 惡意軟體攻擊可能會導致整個系統受到損害,從而使防範這種形式的惡意軟體成為企業的首要任務。

Androxgh0st 是一個突出的威脅,Check Point 2024 年 5 月的全球威脅指數確定了 5% 的公司受到這種惡意軟體影響的全球總影響。 如需了解更多信息,請查看 Check Point 的完整2024 年 5 月報告

Check Point Workspace Security offers an extensive endpoint security solution, dynamically mitigating several prominent threats with autonomous detection and response systems. To learn more about Workspace Security and how it can protect your business, request a free demo today.

開始使用

次世代防火牆

零信任資安

進階網路威脅防護

買家指南

相關主題

惡意軟體

惡意軟體的類型

Crypto Malware

行動惡意軟體

Lokibot