Neue Gefahr für Online-Dienste durch Hacking-Tool FBot

FBot ist in erster Linie für Akteurinnen und Akteure gedacht, die Cloud-, SaaS- und Webdienste kapern oder Zahlungsdienste wie PayPal angreifen wollen. Außerdem können sie das Hacking-Tool nutzen, um Mail-Konten zu beschaffen. Über diese können sie dann Spam-Angriffe durchführen. Außerdem lassen sich über bestimmte FBot-Funktionen Anmeldeinformationen sammeln. Mit diesen können sich Angreifende einen ersten Zugang zu Accounts verschaffen und diese an Dritte verkaufen.

Fbot ist angeblich äußerst flexibel und eignet sich daher auch als Malware-as-a-Service (MaaS). Demnach könnte das Hacking-Tool auf die individuellen Bedürfnisse krimineller Kundschaft zugeschnitten werden. Dieser Umstand erhöht das Bedrohungspotenzial des Tools zusätzlich.

Hintergrund zu FBot

FBot basiert auf der Programmiersprache Python. Das Hacking-Tool nutzt nicht den weit verbreiteten Androxgh0st-Code, sondern ähnelt in Funktionalität und Design dem Cloud-Infostealer Legion.

FBot enthält verschiedene Dienstprogramme, darunter einen IP-Adressgenerator und einen Port-Scanner. Weiter beinhaltet die Malware eine E-Mail-Validierungsfunktion, die einen indonesischen Technologiedienstleister zur Validierung von E-Mail-Adressen einsetzt.

Features von FBot

FBot hat mehrere Funktionen für Angriffe auf AWS-Konten, Zahlungsdienste und Software-as-a-Service-(SaaS)-Konfigurationen. Nachfolgend werden einige kurz beschrieben:

• Ein AWS-API-Schlüssel-Generator, der eine zufällige AWS-Zugangsschlüssel-ID generiert.
• Ein Massen-AWS-Checker, der E-Mail-Konfigurationsdetails des AWS Simple Email Service (SES) prüft. Damit ist massives Spamming gegen Zielkonten möglich. Außerdem kann die Funktion Benutzerkonten mit erhöhten Rechten erstellen. Dabei bleibt das durch FBot initial kompromittierte Konto bestehen.
• Ein AWS EC2 (Elastic Compute Cloud) Checker, der eine Liste von AWS-Identitäten aus einer Textdatei liest. Daraufhin führt die Funktion ein Skript aus. Darüber fragt sie Informationen zu EC2-Kontoeinstellungen ab und schreibt diese in eine Textdatei.
• Ein PayPal-Validator, der die Status von PayPal-Konten validieren kann. Über eine gefälschte Anfrage an die Website eines litauischen Modedesigners hxxps://www.robertkalinkin.com/index.php kann die Funktion eine Antwort erwirken und reale Daten auslesen.

FBot ist im Vergleich zu ähnlichen Tools weniger verbreitet. Dies deutet auf eine mögliche private Entwicklung und einen gezielteren Vertriebsansatz hin. Da aktuell viele Hacking-Kampagnen gegen Cloud-Dienste und SaaS-Plattformen laufen, ist ein zusätzliches, anscheinend flexibles Tool wie FBot sehr bedenklich.

Durch die angebliche Flexibilität könnte FBot auch als MaaS angeboten werden. Dies macht das Hacking-Tool umso bedrohlicher, da keine standardisierten Maßnahmen zum Schutz vor MaaS-Angriffen definiert werden können.

Um sich gegen FBot zu wappnen, beachten Sie folgende Empfehlungen:

• Richten Sie Benachrichtigungen in eingesetzten Webservern, Content-Management-Systemen, Cloud-Diensten und SaaS-Plattformen ein, wenn:
  • diesen Diensten oder Plattformen ein neues Nutzerkonto oder neue Identitäten hinzugefügt werden;
  • wenn Konfigurationsänderungen vorgenommen werden.
• Verwenden Sie bei diesen Diensten und Plattformen eine Multi-Faktor-Authentifizierung.
• Aktivieren Sie ein Virenschutzprogramm.
  • Prüfen Sie regelmäßig, ob der Hersteller Updates bereitstellt, auch gegen FBot.
  • Richten Sie automatische Updates für den Virenscanner ein oder installieren Sie verfügbare Updates schnellstmöglich.
• Prüfen Sie regelmäßig, ob Updates für verwendete Webserver, Content-Management-Systeme, Cloud-Dienste und SaaS-Plattformen vorliegen. Installieren Sie diese Updates schnellstmöglich.
• Prüfen Sie regelmäßig, ob die Hersteller verwendeter Software-Produkte spezielle Patches gegen FBot bereitstellen. Installieren Sie diese Patches umgehend.
• Richten Sie automatische Updates für verwendete Software und Dienste ein, wenn möglich.
• Installieren Sie nur Software aus vertrauenswürdigen Quellen.