Androxgh0st Malware: Everything You Need to Know

Androxgh0st ist eine Python-basierte skriptbasierte Malware, die auf Anwendungen abzielt, die Laravel verwenden (wie AWS, Twilio, Office 365 und SendGrid), indem sie Informationen aus .env scannt und extrahiert Dateien. Diese Form von Malware kann vertrauliche Informationen wie Anmeldedaten extrahieren und das Simple Mail Transfer Protocol (SMTP) knacken, um die API- und Web-Shell-Entwicklung auszunutzen.

Demo anfordern Kaufratgeber Endgerätesicherheit

Wie Androxgh0st funktioniert

Androxgh0st zielt in erster Linie auf Laravel Anwendung ab, ein führendes PHP-Framework, das in vielen Webanwendungen verwendet wird. Durch Scannen von .env Dateien kann Androxgh0st vertrauliche Informationen aus diesen Dateien identifizieren und extrahieren, vor allem die Anmeldedaten für Plattformen wie Amazon Web Services.

Androxgh0st funktioniert in mehreren Phasen:

  • Schritt eins, Botnet-Scan: Mithilfe eines Botnets sucht Androxgh0st nach Websites, die das Laravel-Framework aktiv verwenden. Durch die Identifizierung von Websites mit diesem Webanwendung-Framework können sie dann eine Liste potenzieller Websites erstellen, auf die sie abzielen möchten.
  • Schritt zwei, .env-Scannen: Auf jeder der identifizierten Websites scannt Androxgh0st die Stammebene der Domain und sucht nach exponierten .env-Dateien Dateien, die noch vertrauliche Daten oder Anmeldeinformationen enthalten.
  • Schritt drei, Zugriff auf: Bedrohungsakteure senden entweder eine GET- oder eine POST-Anforderung, um dann Passwörter, Benutzernamen oder Anmeldeschlüssel zu durchsuchen, die mit der Website verbunden sind. Eingehende POST- und GET-Anfragen sind einer der wichtigsten Bedrohungsindikatoren dafür, dass Androxgh0st unterwegs ist.

Sobald ein Bedrohungsakteur über Cloud-Anmeldeinformationen verfügt, greift er auf das Betriebssystem zu und nutzt dies, um weitere Probleme für das Unternehmen zu schaffen. Androxgh0st ermöglicht es Hackern auch, mehr Malware auf eine Website herunterzuladen. Durch das Herunterladen bösartiger Dateien über Androxgh0st können Bedrohungsakteure weitere unrechtmäßige Seiten auf der Website erstellen, die ihnen einen Hintertürzugriff auf die Website ermöglichen.

Eine direkte Backdoor-Verbindung verschafft dem böswilligen Akteur dann weitere Kontrolle über die Website und unbefugten Zugriff auf verbundene Datenbanken.

Auswirkungen von Androxgh0st

Androxgh0st bietet Bedrohungsakteuren einen Weg, um Remotezugriff auf Websites und Geschäftssysteme zu erhalten. Sobald sie Zugriff erhalten, können sie weitere Malware auf das System herunterladen. Hacker könnten mit Androxgh0st alle sensiblen Daten auf Ihrem System kompromittieren.

Zusätzlich kann Androxgh0st damit beginnen, Ihr System nach anderen Schwachstellen zu durchsuchen. Je mehr Zeit sie in Ihrem System haben, desto umfangreicher wird dieser Schwachstellen-Scan sein, so dass eine rechtzeitige Reaktion für die Abwehr dieser Form von Malware entscheidend ist.

Eine weitere wichtige Auswirkung von Androxgh0st ist die Möglichkeit für Bedrohungsakteure, neue Instanzen auf Diensten wie AWS zu erstellen. Eine der profitabelsten Bestrebungen, die diese Akteure verfolgen werden, ist die Nutzung von AWS-Cloud-Computing-Instanzen als Versorgungsstrom für das Kryptowährungs-Mining. Ohne für ihre eigenen Ressourcen bezahlen zu müssen, können sie ihre bösartigen Operationen skalieren, ohne dass ihnen Kosten entstehen.

Ein System, das durch Androxgh0st kompromittiert wurde, könnte auch als Operationsbasis für andere Cybersicherheitsangriffe dienen. Die Nutzung der Netzwerk-Ressourcen eines AWS -Servers kann beispielsweise dazu beitragen, DDoS-Angriffe zu starten und weitere Datenschutzverletzungen auszulösen.

Aufgrund des schwerwiegenden Ausmaßes der Auswirkungen von Androxgh0st hat die CISA den Sicherheitsmangel in ihre Liste der bekannten ausgenutzten Schwachstellen aufgenommen und fordert Unternehmen auf, Maßnahmen zu ergreifen, um die Bedrohung zu mindern.

6 Best Practices zur Eindämmung von Androxgh0st-Malware

Hier sind einige Best Practices, die zum Schutz vor der Androxgh0st-Malware-Bedrohung beitragen:

  1. Überprüfen Sie .env-Dateien: Überprüfen Sie unbedingt Ihre Dienste und Plattformen, die auf Laravel angewiesen sind, und prüfen Sie, ob Sie sensible Daten in .env gespeichert haben Dateien. Entfernen Sie es nach Möglichkeit, um die Bedrohung durch Androxgh0st zu verringern.
  2. Kritische Architektur neu strukturieren: Eine weitere wirksame Maßnahme, um sich vor der Androxgh0st-Bedrohung zu schützen, besteht darin, Ihre derzeit aktiven Dienste zu überprüfen, um zu überprüfen, welche mit dem Internet verbunden sind. Entfernen Sie den Internetzugang für alle Systeme, die keinen Internetzugang benötigen.
  3. Aktualisieren Sie Laravel-Frameworks: Regelmäßige Software-Updates helfen dabei, bekannte Schwachstellen zu beheben, die Anbieter in ihren Plattformen identifiziert haben. Wenn Sie Software aktualisieren, sobald sie verfügbar ist, stellen Sie sicher, dass Ihr Unternehmen vor Schwachstellen geschützt ist, unter denen frühere Versionen möglicherweise gelitten haben. Die Aktualisierung von Software hilft Ihrem Unternehmen auch, sich an mehrere Compliance-Vorschriften anzupassen.
  4. Überwachen Sie auf Bedrohungsindikatoren: Führen Sie regelmäßige Scans und Überprüfungen Ihrer Systeme durch, um nach Bedrohungsindikatoren zu suchen. Mehrere Bedrohungsindikatoren, die eng mit Androxgh0st oder einem anderen Malware-Angriff verbunden sind, könnten Ihr Cybersicherheitsteam auf das Vorhandensein eines Angreifers aufmerksam machen. Die Früherkennung ist eine der effektivsten Strategien, die Sie einsetzen können, um die Schwere einer Sicherheitsverletzung oder eines Angriffs zu verringern.
  5. Durchsetzung von Zugriffskontrollrichtlinien: Androxgh0st-Angriffe sind sehr erfolgreich, wenn ein Unternehmen nicht über ausreichende Zugriffskontrollrichtlinien und Authentifizierungssysteme verfügt. Wenn ein Bedrohungsakteur in der Lage ist, Anmeldedaten ausfindig zu machen, garantiert ein Mangel an Zugriffskontrollen und Authentifizierungswegen seinen Erfolg bei der Infiltration Ihrer Systeme. Zusätzliche Zugriffskontrollrichtlinien schränken den Zugriff ein und geben Ihnen wertvolle Zeit für eine umfassendere Verteidigung.
  6. Endgerätesicherheit nutzen: Endgerätesicherheitssysteme gehören zu den effektivsten Abwehrmechanismen, die Ihr Unternehmen gegen Malware-Bedrohungen aufbauen kann. Anstatt die Auswirkungen von Malware, die sich bereits in Ihrem System befindet, zu reduzieren, identifiziert die Endgerätesicherheit Bedrohungsindikatoren für Malware und verhindert, dass sie sich überhaupt auf Ihrem System installiert. Dabei handelt es sich um eine umfassende Form der Malware-Analyse und -Abwehr, die Sie vor zahlreichen Bedrohungsvektoren schützen kann.

Androxgh0st Schutz mit Check Point

Androxgh0st stellt ein erhebliches Risiko für alle Laravel-Frameworks und Websites dar, die sie in ihren Systemen verwenden. Nach dem Erfolg kann ein Androxgh0st-Malware-Angriff ein gesamtes System kompromittieren, so dass der Schutz vor dieser Form von Malware für Unternehmen oberste Priorität hat.

Androxgh0st ist eine prominente Bedrohung, wobei der Global Threat Index von Check Point für Mai 2024 eine globale Auswirkung von insgesamt 5 % der Unternehmen ausweist, die von dieser Form von Malware betroffen sind. Weitere Informationen finden Sie im vollständigen Bericht von Check Point vom Mai 2024.

Check Point Harmony bietet eine umfassende Endgerätesicherheitslösung, die mit autonomen Erkennungs- und Reaktionssystemen mehrere prominente Bedrohungen dynamisch abwehrt. Um mehr über Harmony zu erfahren und wie es Ihr Unternehmen schützen kann, fordern Sie noch heute eine kostenlose Demo an.

Loslegen

Next Generation Firewall

Zero Trust Security

Advanced Network Threat Prevention

Leitafden für Käufer

Verwandte Themen

Schadsoftware

Arten von Malware

Krypto-Malware

Mobile Malware

Lokibot

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK