新型Python黑客工具FBot的威胁

关键要点

FBot是一个针对云和软件即服务(SaaS)平台的新型黑客工具，专注于劫持账户和进行垃圾邮件攻击。它的功能和设计与Legion云信息窃取工具相似，但与流行的Androxgh0st代码无关。维护良好的云安全实践可以有效减少FBot带来的风险，如启用多因素身份验证(MFA)和定期审查凭证。在检测滥用时，简单的频率分析和登录异常检测可以帮助识别潜在威胁。

最近识别出一种名为FBot的基于Python的黑客工具，该工具主要针对云服务器以及软件即服务SaaS技术，比如亚马逊网络服务AWS、微软Office 365、PayPal、Sendgrid和Twilio。

在1月11日的一篇博客文章中，SentinelOne的研究人员表示，FBot并没有利用广泛使用的Androxgh0st代码，但在功能和设计上与Legion云信息窃取工具有相似之处。

研究人员指出，FBot的主要设计目的是为了让网络攻击者劫持云、SaaS和网络服务。此外，它还致力于获取账户以实施垃圾邮件攻击，恶意用户可以利用凭证收集功能获取初始访问权限，并将这些信息出售给其他方。

Ontinue的威胁响应负责人Balazs Greksza表示，安全专家应将FBot视为一组高级脚本：该工具仅包含约200 KB或4000行Python代码，具有22个选项，也就是说其每项功能都相对简单。

相比之下，Greksza提到，业界认为的端口扫描瑞士军刀网络映射工具NMAP的压缩大小为17 MB。FBot的“portscanner”仅针对7个HTTP头部进行特定检查。该脚本使用公开可用的数据，或者假定敏感且已被攻击者破坏的凭证的访问密钥，因此没有进行强力破解。

Greksza表示：“对于更重要的目标，AWS安全团队不必过于担心FBot，反而应关注一般的云安全问题。”他补充道：“AWS攻击选项检查简单邮件传输协议(SMTP)目标、亚马逊弹性计算云(EC2)实例以及资源列表。只要他们遵循AWS身份与访问管理(IAM)最佳实践，不使用AWS根用户，并为正常用户配置多因素身份验证(MFA)，监控新身份作为持久性手段及潜在攻击者，AWS操作员应能安全无虞。”

Bambenek Consulting的负责人John Bambenek补充说，重要的防御措施是为至少最敏感的交易启用MFA，例如添加或删除用户、创建新API密钥或创建新资源，同时将这些SaaS平台的所有日志汇入SIEM。

Bambenek表示：“许多滥用行为可以通过简单的频率分析或检测登录异常来识别。”他指出：“虽然日志质量各异，但所有平台都有登录和资源修改的审计日志，这为安全专家提供了快速检测和补救滥用行为的基本工具，只要这些日志能进入SIEM。”

Cyware的技术总监Emily Phelps表示，为了防范针对云和SaaS平台的基于Python的黑客工具如FBot，安全团队应采取多管齐下的方法：强制执行MFA、定期进行凭证审计、培训员工提高安全意识、以及实施终端安全措施。

Phelps补充说：“他们还应参与网络分层，增强活动监控，保持软件更新，严格执行访问控制政策。”同时，定期进行渗透测试、数据加密以及与云服务提供商的合作也是防范此类网络威胁的关键所在。

clash怎么配置