Androxgh0st Zararlı Yazılımı ile İlişkilendirilmiş Bilinen Tehlike Belirtileri
ZARARLI SİBER ETKİNLİKLERİ AZALTMAK İÇİN BUGÜN ALINACAK EYLEMLER:
- İnternet üzerindeki sistemlerde bilinen sömürülmüş zafiyetleri yamalamayı önceliklendirin.
- Yalnızca gerekli sunucuların ve servislerin internete açık olduğunu gözden geçirin ve sağlayın.
- .env dosyalarında listelenen kimlik bilgilerine sahip platformları veya servisleri yetkisiz erişim veya kullanım için gözden geçirin.
ÖZET
Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Androxgh0st zararlı yazılımını kullanarak tehdit oluşturan aktörlerle ilişkilendirilen bilinen tehlike belirtilerini (IOC'ler) ve taktikleri, teknikleri ve prosedürleri (TTP'ler) yayınlamak için bu ortak Siber Güvenlik Uyarısı'nı (CSA) yayınlıyor. Birçok devam eden soruşturma ve güvenilir üçüncü taraf raporlama, IOC'leri ve TTP'leri sağlamış ve Androxgh0st zararlı yazılımının savunmasız ağları tanımlayabilen ve tehlikeye sokabilen bir botnet kurma yeteneği hakkında bilgi vermiştir.
FBI ve CISA, kuruluşları, Androxgh0st enfeksiyonlarından kaynaklanan siber güvenlik olaylarının olasılığını ve etkisini azaltmak için bu CSA'nın Hafifletmeler bölümündeki önerilere uygulamaya teşvik ediyor.
Bu raporun PDF versiyonunu indir:
AA24-016A Androxgh0st Zararlı Yazılımı ile İlişkilendirilmiş Bilinen Tehlike Belirtileri
IOC'lerin indirilebilir bir kopyası için şu bağlantıyı ziyaret edin:
Teknik Detaylar:
Not: Bu bildiri, MITRE ATT&CK® for Enterprise çerçevesini, 14. sürümü kullanmaktadır. MITRE ATT&CK Taktikleri ve Teknikleri bölümü, tehdit aktörlerinin faaliyetlerini MITRE ATT&CK taktikleri ve tekniklerine haritalandırılmış bir tablo ile birlikte karşılanan hafifletme ve/veya tespit önerileri için içerir. Kötü amaçlı siber etkinlikleri MITRE ATT&CK çerçevesine haritalandırmak için yardım almak için CISA ve MITRE ATT&CK'nin MITRE ATT&CK Haritalandırma için En İyi Uygulamalar ve CISA'nın Decider Aracı'na başvurun.
Genel Bakış
Androxgh0st zararlı yazılımının, hedef ağlarda kurban tanımlama ve sömürü için bir botnet oluşturduğu gözlemlenmiştir [T1583.005]. Açık kaynak raporlamasına göre[1], Androxgh0st, özellikle .env dosyalarını hedefleyen Python betikli bir zararlı yazılımdır [T1059.006]. Bu dosyalar, çeşitli önemli uygulamaların (örneğin, Amazon Web Services [AWS], Microsoft Office 365, SendGrid ve Laravel web uygulama çerçevesinden Twilio) kimlik bilgileri gibi gizli bilgileri içermektedir [T1552.001]. Androxgh0st zararlı yazılımı ayrıca, Basit Posta Transfer Protokolü (SMTP) üzerinde kötüye kullanıma yönelik birçok işlevi desteklemektedir, bunlar arasında tarama [T1046], açığa çıkan kimlik bilgilerinin [T1078] ve uygulama programlama ara yüzlerinin (API'ler) [T1114] sömürülmesi ile web kabuğu dağıtımı [T1505.003] bulunmaktadır.
PHPUnit hedefleme
Androxgh0st zararlı yazılımının TTP'leri genellikle betik kullanımını içerir; tarama [T1595] gerçekleştirme ve belirli zafiyetlere sahip web sitelerini arama. Özellikle, Androxgh0st kullanarak tehdit oluşturan aktörlerin, PHPUnit aracılığıyla CVE-2017-9841'i sömürdükleri gözlemlenmiştir; bu sayede zafiyetli web sitelerinde uzaktan hipertext ön işlemci (PHP) kodu çalıştırabilmektedirler [T1190]. PHPUnit modülünü kullanan ve internete erişilebilen (açık) /vendor klasörlerine sahip web siteleri, /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php URI'sine kötü amaçlı HTTP POST isteklerine maruz kalmaktadır. Bu PHP sayfası, bir POST isteği aracılığıyla gönderilen PHP kodunu çalıştırır, bu da tehdit oluşturan aktörlerin uzaktan kod yürütmelerine izin verir.
Muhtemelen kötü niyetli aktörler, Androxgh0st'u kullanarak web sitesini barındıran sistem üzerine kötü amaçlı dosyaları indirirler [T1105]. Tehdit oluşturan aktörler, web sitesine arka kapı erişimi sağlamak amacıyla URI üzerinden erişilebilen sahte (geçersiz) bir sayfa kurabilirler. Bu, tehdit oluşturan aktörlere operasyonları için ek kötü amaçlı dosyaları indirme ve veritabanlarına erişme olanağı tanır.
Laravel Çerçevesi Hedefleme
Androxgh0st zararlı yazılımı, Laravel web uygulama çerçevesini kullanan web sitelerini tarayan bir botnet kurar. Laravel web uygulaması kullanan siteleri tespit ettikten sonra, tehdit oluşturan aktörler, alan adının kök düzeyindeki .env dosyasının açık olup olmadığını ve ek hizmetlere erişim için kimlik bilgilerini içerip içermediğini belirlemeye çalışırlar. Not: .env dosyaları genellikle kimlik bilgilerini ve belirteçleri depolar. Tehdit oluşturan aktörler, genellikle bu kimlik bilgilerini çalmak için .env dosyalarını hedef alırlar.
Eğer .env dosyası açıksa, tehdit oluşturan aktörler, verilere erişmeye çalışmak için /.env URI'sine bir GET isteği göndereceklerdir. Alternatif olarak, Androxgh0st, aynı URI'ye 0x[] adında belirli verileri içeren bir POST değişkeni içeren bir POST isteği gönderebilir. Bu veriler, genellikle tehdit oluşturan aktör için bir tanımlayıcı olarak kullanılır. Bu yöntem, genellikle web sitelerinin hata ayıklama modunda olduğu durumlarda (örneğin, üretim olmayan web siteleri internete açıkken) kullanılır gibi görünmektedir. Bu yöntemlerden herhangi birinden başarılı bir yanıt, tehdit oluşturan aktörlere e-posta (SMTP aracılığıyla) ve AWS hesapları gibi hizmetlere ait kullanıcı adları, şifreler ve/veya diğer kimlik bilgilerini araştırma olanağı tanır.
Androxgh0st zararlı yazılımı, aynı zamanda web sitesindeki Laravel uygulaması için uygulama anahtarına [TA0006] erişebilir. Tehdit oluşturan aktörler, Laravel uygulama anahtarını başarıyla belirlerlerse, anahtarı kullanarak PHP kodunu şifreleyerek sömürü denemesi yaparlar [T1027.010]. Şifrelenmiş kod daha sonra çapraz site sahtekarlığı isteği (XSRF) belirteci çerezi, XSRF-TOKEN, içinde bir değer olarak web sitesine geçirilir ve gelecekteki bir GET isteğine dahil edilir. CVE-2018-15133'te tanımlanan zafiyet, Laravel uygulamalarında XSRF belirteci değerlerinin deserialleştirilmemiş bir çağrıya tabi tutulabileceğini belirtir, bu da uzaktan kod yürütme için izin verebilir. Böylece, tehdit oluşturan aktörler, uzaktan erişim aracılığıyla web sitesine dosya yükleyebilirler.
Apache Web Sunucusu Hedefleme
CVE-2021-41773 ile ilişkilendirilerek, Androxgh0st aktörlerinin, Apache HTTP Server sürüm 2.4.49 veya 2.4.50 çalıştıran zafiyetli web sunucularını tarama [T1595.002] eğiliminde oldukları gözlemlenmiştir. Tehdit oluşturan aktörler, bir yol geçişi saldırısı [T1083] aracılığıyla kök dizin dışındaki dosyaların uniform resource locators (URL'leri)ni belirleyebilirler. Eğer bu dosyalar "request all denied" konfigürasyonu tarafından korunmuyorsa ve Common Gateway Interface (CGI) betikleri etkinse, bu uzaktan kod yürütme olanağı sağlayabilir.
Eğer tehdit oluşturan aktörler yukarıdaki yöntemlerle herhangi bir hizmet için kimlik bilgilerini elde ederlerse, bu kimlik bilgilerini kullanarak hassas verilere erişebilir veya bu hizmetleri kullanarak ek kötü amaçlı operasyonlar gerçekleştirebilirler. Örneğin, tehdit oluşturan aktörlerin, zafiyetli bir web sitesinden başarıyla AWS kimlik bilgilerini tespit edip ele geçirdikten sonra, yeni kullanıcılar ve kullanıcı politikaları oluşturmaya çalıştıkları gözlemlenmiştir [T1136]. Ayrıca, Androxgh0st aktörlerinin ek tarama faaliyetleri için kullanmak üzere yeni AWS örnekleri oluşturmaya çalıştıkları gözlemlenmiştir [T1583.006].
KOMPROMİS GÖSTERGELERİ (IOC'ler)
İncelemeler ve analizlere dayanarak, aşağıdaki istekler Androxgh0st faaliyetleri ile ilişkilendirilmiştir:
Aşağıdaki URI'lere yönelik gelen GET ve POST istekleri:
/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
/.env
Aşağıdaki dizelerle gelen POST istekleri:
[0x%5B%5D=androxgh0st]
ImmutableMultiDict([('0x[]', 'androxgh0st')])
Daha önce listelenen her iki POST isteği dizisinde de, ismin androxgh0st olduğu gözlemlenmiş ve diğer takma adlarla değiştirilmiştir.
FBI ve bu tehdit aktörleri tarafından kimlik bilgisi sızdırma için kullanılan güvenilir üçüncü taraf tarafından gözlemlenen ek URI'lar şunları içermektedir:
/info
/phpinfo
/phpinfo.php
/?phpinfo=1
/frontend_dev.php/$
/_profiler/phpinfo
/debug/default/view?panel=config
/config.json
/.json
/.git/config
/live_env
/.env.dist
/.env.save
/environments/.env.production
/.env.production.local
/.env.project
/.env.development
/.env.production
/.env.prod
/.env.development.local
/.env.old
//.env
Not: Aktör, .env dosyasını tarayarak birden çok farklı potansiyel URI uç noktasını deneyebilir, örneğin /docker/.env veya /local/.env gibi.
/.aws/credentials
/aws/credentials
/.aws/config
/.git
/.test
/admin
/backend
/app
/current
/demo
/api
/backup
/beta
/cron
/develop
/Laravel
/laravel/core
/gists/cache
/test.php
/info.php
//.env
/admin-app/.env%20
/laravel/.env%20
/shared/.env%20
/.env.project%20
/apps/.env%20
/development/.env%20
/live_env%20
/.env.development%20
Web kabuğu bırakmak için hedeflenen URI'lar:
/.env/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//admin/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//api/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//backup/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//blog/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//cms/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//demo/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//dev/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//laravel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php//lib/phpunit/phpunit/Util/PHP/eval-stdin.php//lib/phpunit/src/Util/PHP/eval-stdin.php//lib/phpunit/Util/PHP/eval-stdin.php//new/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//old/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//panel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//phpunit/phpunit/src/Util/PHP/eval-stdin.php//phpunit/phpunit/Util/PHP/eval-stdin.php//phpunit/src/Util/PHP/eval-stdin.php//phpunit/Util/PHP/eval-stdin.php//protected/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//sites/all/libraries/mailchimp/vendor/phpunit/phpunit/src/Util/PHP/evalstdin.php//vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//vendor/phpunit/phpunit/Util/PHP/eval-stdin.php//vendor/phpunit/src/Util/PHP/eval-stdin.php//vendor/phpunit/Util/PHP/eval-stdin.php//wp-content/plugins/cloudflare/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//wp-content/plugins/dzs-videogallery/class_parts/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//wp-content/plugins/jekyll-exporter/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//wp-content/plugins/mm-plugin/inc/vendors/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php//www/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/admin/ckeditor/plugins/ajaxplorer/phpunit/src/Util/PHP/eval-stdin.php/admin/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/api/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/api/vendor/phpunit/phpunit/src/Util/PHP/Template/eval-stdin.php/lab/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/laravel/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/laravel_web/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/laravel52/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/laravelao/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php/lib/phpunit/phpunit/Util/PHP/eval-stdin.php/lib/phpunit/phpunit/Util/PHP/evalstdin.php%20/lib/phpunit/src/Util/PHP/eval-stdin.php/lib/phpunit/src/Util/PHP/eval-stdin.php/lib/phpunit/Util/PHP/eval-stdin.php/lib/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/libraries/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/phpunit/phpunit/src/Util/PHP/eval-stdin.php/phpunit/phpunit/Util/PHP/eval-stdin.php/phpunit/phpunit/Util/PHP/eval-stdin.php%20/phpunit/src/Util/PHP/evalstdin.php/phpunit/src/Util/PHP/eval-stdin.php./phpunit/Util/PHP/eval-stdin.php/phpunit/Util/PHP/eval-stdin.php%20/lib/phpunit/phpunit/src/Util/PHP/eval-stdin.php/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php.dev/vendor/phpunit/phpunit/Util/PHP/eval-stdin.php/vendor/phpunit/phpunit/Util/PHP/eval-stdin.php%20/vendor/phpunit/src/Util/PHP/eval-stdin.php/vendor/phpunit/src/Util/PHP/eval-stdin.php/vendor/phpunit/Util/PHP/eval-stdin.php/vendor/phpunit/Util/PHP/eval-stdin.php%20/phpunit/phpunit/src/Util/PHP/eval-stdin.php/yii/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php/zend/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
(Bal kabağı) açık proxy'ler aracılığıyla denenen kimlik bilgisi sızdırma örneği:
POST /.aws/credentials HTTP/1.1
host: www.example.com
user-agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36
accept-encoding: gzip, deflate
accept: */*
connection: keep-alive
content-length: 20
content-type: application/x-www-form-urlencoded
0x%5B%5D=androxgh0st
(Honeypot) açık proxy'ler aracılığıyla denenen bir web kabuğu bırakma örneği:
GET http://www.example.com/lib/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1
host: www.example.com
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36 Edg/116.0.1938.76
accept-encoding: gzip, deflate
accept: */*
connection: keep-alive
x-forwarded-for: 200.172.238.135
content-length: 279
Androxgh0st yerine kullanılan takma adlar (0x%5B%5D=???):
- Ridho
- Aws
- 0x_0x
- x_X
- nopebee7
- SMTPEX
- evileyes0
- privangga
- drcrypter
- errorcool
- drosteam
- androxmen
- crack3rz
- b4bbyghost
- 0x0day
- janc0xsec
- blackb0x
- 0x1331day
- Graber
eval-stdin.php üzerinden gerçekleşen örnek zararlı yazılım bırakmaları:
hxxps://mc.rockylinux[.]si/seoforce/triggers/files/evil.txt
59e90be75e51c86b4b9b69dcede2cf815da5a79f7e05cac27c95ec35294151f4
hxxps://chainventures.co[.]uk/.well-known/aas
dcf8f640dd7cc27d2399cce96b1cf4b75e3b9f2dfdf19cee0a170e5a6d2ce6b6
hxxp://download.asyncfox[.]xyz/download/xmrig.x86_64
23fc51fde90d98daee27499a7ff94065f7ed4ac09c22867ebd9199e025dee066
hxxps://pastebin[.]com/raw/zw0gAmpC
ca45a14d0e88e4aa408a6ac2ee3012bf9994b16b74e3c66b588c7eabaaec4d72
hxxp://raw.githubusercontent[.]com/0x5a455553/MARIJUANA/master/MARIJUANA.php
0df17ad20bf796ed549c240856ac2bf9ceb19f21a8cae2dbd7d99369ecd317ef
hxxp://45.95.147[.]236/tmp.x86_64
6b5846f32d8009e6b54743d6f817f0c3519be6f370a0917bf455d3d114820bbc
hxxp://main.dsn[.]ovh/dns/pwer
bb7070cbede294963328119d1145546c2e26709c5cea1d876d234b991682c0b7
hxxp://tangible-drink.surge[.]sh/configx.txt
de1114a09cbab5ae9c1011ddd11719f15087cc29c8303da2e71d861b0594a1ba
MITRE ATT&CK Taktikleri ve Teknikleri
Tablolar 1-10'da bu bildiride referans verilen tüm tehdit aktörü taktiklerini ve tekniklerini görebilirsiniz.
| Teknik Başlığı | ID | Kullanım |
|---|---|---|
|
Aktif Tarama: Zafiyet Taraması |
Tehdit aktörü, sömürmek için belirli zafiyetleri kullanacak web sitelerini taramaktadır. |
| Teknik Başlığı | ID | Kullanım |
|---|---|---|
|
Altyapı Edinme: Botnet |
Tehdit aktörü, kurbanları tanımlamak ve sömürmek için bir botnet oluşturur. |
|
|
Altyapı Edinme: Web Hizmetleri |
Tehdit aktörü, tarama için kullanmak üzere yeni AWS örnekleri oluşturur. |
| Teknik Başlığı | ID | Kullanım |
|---|---|---|
|
Genelde Yüzeydeki Uygulamayı Sömürme |
Tehdit aktörü, PHPUnit aracılığıyla web sitelerinde uzaktan hipertext ön işlemci (PHP) kodu çalıştırmak için CVE-2017-9841'i sömürür. |
| Teknik Başlığı | ID | Kullanım |
|---|---|---|
|
Komut ve Betik Yorumlayıcı: Python |
Tehdit aktörü, bir Python betikli zararlı yazılım olan Androxgh0st'u kullanarak kurban dosyalarını hedefler. |
| Teknik Başlığı | ID | Kullanım |
|---|---|---|
|
Geçerli Hesaplar |
Tehdit aktörü, açığa çıkan kimlik bilgilerini sömürerek basit posta transfer protokolünü (SMTP) kötüye kullanır. |
|
|
Sunucu Yazılım Bileşeni: Web Kabuğu |
Tehdit aktörü, sistemlere kalıcı erişimi sürdürmek için web kabukları dağıtır. |
|
|
Hesap Oluşturma |
Tehdit aktörü, zafiyetli bir web sitesinden ele geçirilen AWS kimlik bilgileri ile yeni kullanıcılar ve kullanıcı politikaları oluşturmayı denemektedir. |
| Teknik Başlık | ID | Kullanım |
|
Gizlenmiş Dosyalar veya Bilgiler: Komut Gizleme |
Tehdit aktörü, başarılı bir şekilde tanımlanan Laravel uygulama anahtarını sömürerek PHP kodunu şifreleyebilir. Daha sonra bu şifrelenmiş kod, siteye XSRF-TOKEN çerezi içinde bir değer olarak iletilir. |
| Teknik Başlık | ID | Kullanım |
|
Kimlik Bilgisi Erişimi |
Tehdit aktörü, sitenin Laravel uygulamasının uygulama anahtarına erişebilir. |
|
|
Güvenilmeyen Kimlik Bilgileri: Dosyalardaki Kimlik Bilgileri |
Tehdit aktörü, gizli kimlik bilgilerini içeren .env dosyalarını hedef alır. |
| Teknik Başlık | ID | Kullanım |
|
Dosya ve Dizin Keşfi |
Tehdit aktörü, bir yol geçişi saldırısı aracılığıyla kök dizin dışındaki dosyaların URL'lerini tanımlayabilir. |
|
|
Ağ Servisi Keşfi |
Tehdit aktörü, tarama yoluyla Androxgh0st'u kullanarak basit posta transfer protokolünü (SMTP) kötüye kullanır. |
| Teknik Başlık | ID | Kullanım |
|
E-posta Toplama |
Tehdit aktörü, bilgi toplamak için uygulama programlama arayüzleri (API'ler) ile etkileşime girer. |
| Teknik Başlık | ID | Kullanım |
|
Ingress Tool Transfer |
Tehdit aktörü, web sitesini barındıran sisteme kötü amaçlı dosyaları indirmek için bir POST isteği aracılığıyla PHP kodu yürütür. |
FBI ve CISA, Androxgh0st tehdit aktörüne dayalı olarak kuruluşunuzun siber güvenlik duruşunu iyileştirmek için aşağıdaki mitigasyonları uygulamanızı tavsiye eder. Bu mitigasyonlar, CISA ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen Çapraz Sektör Siber Güvenlik Performans Hedefleri (CPG'ler) ile uyumludur. CPG'ler, CISA ve NIST'in tüm kuruluşların uygulamasını tavsiye ettiği minimum bir dizi uygulama ve koruma sağlar. CISA ve NIST, CPG'leri en yaygın ve etkili tehditlere, taktiklere, tekniklere ve prosedürlere karşı korumak için mevcut siber güvenlik çerçevelerine ve rehberliğine dayandırmıştır. CPG'ler hakkında daha fazla bilgi, ek önerilen temel koruma önlemleri dahil olmak üzere, CISA'nın Çapraz Sektör Siber Güvenlik Performans Hedefleri'ni ziyaret edin.
Bu mitigasyonlar tüm kritik altyapı organizasyonları ve ağ savunucuları için geçerlidir. FBI ve CISA, yazılım üreticilerin yazılım geliştirme uygulamalarına güvenli tasarım ilkelerini ve taktiklerini dahil etmelerini, aktör tekniklerinin etkisini sınırlamalarını ve müşterilerinin güvenlik duruşunu güçlendirmelerini tavsiye eder. Güvenli tasarım hakkında daha fazla bilgi için CISA'nın Güvenli Tasarım sayfasına bakın.
FBI ve CISA, ağ savunucularının, ortak sistem ve ağ keşif tekniklerinin potansiyel düşman kullanımını sınırlamak ve Androxgh0st yazılımı kullanan aktörler tarafından tehlikeye düşme riskini azaltmak için aşağıdaki mitigasyonları uygulamalarını tavsiye eder.
Tüm işletim sistemlerini, yazılımları ve firmware'leri güncel tutun. Özellikle, Apache sunucularının 2.4.49 veya 2.4.50 sürümlerini çalıştırmadığından emin olun. Zamanlı yama, bir kuruluşun siber güvenlik tehditlerine maruz kalmasını en aza indirmek için atabileceği en etkili ve uygun maliyetli adımlardan biridir. Öncelikli olarak, İnternete bakan sistemlerdeki bilinen sömürülen güvenlik açıklarını yama yapın.
Tüm URI'lar için varsayılan konfigürasyonun, özel bir erişim ihtiyacı olmadıkça tüm istekleri reddetmesini doğrulayın.
Herhangi bir çalışan Laravel uygulamasının "debug" veya test modunda olmadığından emin olun. Tüm bulut kimlik bilgilerini .env dosyalarından kaldırın ve iptal edin. Tüm bulut sağlayıcılar, herhangi bir dosyaya kaydetmeden web sunucusu içinde çalışan koda geçici, sık sık döndürülen kimlik bilgileri sağlamanın daha güvenli yollarına sahiptir.
Daha önceden saklanan bulut kimlik bilgileri için tek seferde ve kaldırılamayan diğer kimlik bilgileri türleri için sürekli olarak, .env dosyasında listelenen kimlik bilgilerine sahip platformları veya hizmetleri yetkisiz erişim veya kullanım açısından inceleyin.
Sunucunun dosya sistemini tanınmayan PHP dosyaları için, özellikle kök dizininde veya /vendor/phpunit/phpunit/src/Util/PHP klasöründe tarayın.
Çıkış GET isteklerini (cURL komutu aracılığıyla) dosya barındırma sitelerine (GitHub, pastebin gibi) inceleyin, özellikle istek bir .php dosyasına erişdiğinde.
GÜVENLİK KONTROLLERİNİ DOĞRULAYIN
Mitigasyonları uygulamanın yanı sıra, FBI ve CISA, kuruluşunuzun güvenlik programını, bu danışmada Enterprise için MITRE ATT&CK çerçevesine eşlenen tehdit davranışlarına karşı çalıştırmanızı, test etmenizi ve doğrulamanızı tavsiye eder. Yazar kurumlar, ATT&CK tekniklerine karşı performanslarını değerlendirmek için mevcut güvenlik denetim envanterini test etmeyi önerir.
Başlamak için:
Bu danışmada açıklanan bir ATT&CK tekniği seçin (Tablolar 1-10'a bakın).
Güvenlik teknolojilerinizi tekniğe karşı hizalayın.
Tekniğe karşı teknolojilerinizi test edin.
Tespiti ve önleme teknolojilerinizin performansını analiz edin.
Kapsamlı bir performans verisi seti elde etmek için süreci tüm güvenlik
Etiket: #Cybersecurity #Androxgh0st #Malware
Kategori: Cybersecurity
Eklenme Tarihi: 19.01.2024
Safetica ile Verilerinizi korurken operasyonel verimliliği artırın
Etiket: #safetica
Kategori: safetica
Eklenme Tarihi: 19.01.2024