Multi-License Discount Quote
Hotdatabas Malware SSH-Ormmask

SSH-Ormmask

Med Mezo år Malware, Worms
Översätt till:
Svenska

Ett nätverkskarteringsverktyg vid namn SSH-Snake, som gjordes till öppen källkod, har återanvänts av bedrägerirelaterade aktörer för sina attacker. SSH-Snake fungerar som en självmodifierande mask som använder SSH-referenser som erhållits från ett komprometterat system för att spridas över det riktade nätverket. Denna mask skannar autonomt igenkända referensförråd och skalhistorikfiler för att identifiera dess efterföljande åtgärder.

SSH-ormmasken sprider sig över offrens nätverk

SSH-Snake, som släpptes på GitHub i början av januari 2024, kännetecknas av sin utvecklare som ett potent verktyg designat för automatiserad nätverksövergång genom användning av privata SSH-nycklar som upptäckts på olika system.

Verktyget genererar en detaljerad karta över ett nätverk och dess beroenden, vilket hjälper till att bedöma potentiella kompromisser genom privata SSH- och SSH-nycklar som kommer från en specifik värd. Dessutom har SSH-Snake förmågan att lösa domäner med flera IPv4-adresser.

SSH-Snake fungerar som en helt självreplikerande och fillös enhet och kan liknas vid en mask, som autonomt reproducerar och sprider sig över system. Detta skalskript underlättar inte bara sidorörelse utan erbjuder också förbättrad smygfrihet och flexibilitet jämfört med konventionella SSH-maskar.

SSH-Snake-verktyget har utnyttjats i cyberbrottsverksamhet

Forskare har identifierat fall där hotaktörer har använt SSH-Snake i faktiska cyberattacker för att samla in referenser, mål-IP-adresser och bash-kommandohistorik. Detta inträffade efter identifieringen av en Command-and-Control-server (C2) som var värd för den inhämtade datan. Attackerna involverar aktivt utnyttjande av kända säkerhetssårbarheter i Apache ActiveMQ och Atlassian Confluence-instanser för att etablera initial åtkomst och distribuera SSH-Snake.

SSH-Snake utnyttjar den rekommenderade metoden att använda SSH-nycklar för att öka spridningen. Detta tillvägagångssätt, som anses mer intelligent och tillförlitligt, gör det möjligt för hotaktörer att utöka sin räckvidd inom ett nätverk när de väl har etablerat sig.

Utvecklaren av SSH-Snake betonar att verktyget ger legitima systemägare ett sätt att identifiera svagheter i deras infrastruktur innan potentiella angripare gör det proaktivt. Företag uppmuntras att utnyttja SSH-Snake för att avslöja befintliga attackvägar och vidta korrigerande åtgärder för att ta itu med dem.

Cyberbrottslingar drar ofta fördel av legitim programvara för sina skadliga syften

Cyberbrottslingar utnyttjar ofta legitima programvaruverktyg för sina osäkra aktiviteter och attacker på grund av flera skäl:

  • Kamouflage och smygande : Legitima verktyg har ofta legitima användningsområden, vilket gör dem mindre benägna att dra till sig uppmärksamhet från säkerhetsövervakningssystem. Cyberkriminella utnyttjar denna aspekt för att smälta in i normal nätverksaktivitet och undvika upptäckt.
  • Undvika misstankar : Säkerhetsåtgärder är ofta utformade för att identifiera och blockera känd skadlig programvara. Genom att använda allmänt använda och pålitliga verktyg kan cyberbrottslingar flyga under radarn och minska sannolikheten för att utlösa säkerhetsvarningar.
  • Inbyggd funktionalitet : Legitima verktyg kommer vanligtvis med många funktioner som kan utnyttjas för osäkra ändamål. Cyberkriminella utnyttjar dessa inbyggda funktioner för att utföra olika stadier av en attack utan att behöva distribuera ytterligare, potentiellt upptäckbar skadlig programvara.
  • Living off the Land (LotL) Taktik : Cyberkriminella använder en taktik som kallas Living off the Land, där de använder befintliga verktyg och verktyg som finns i ett system för att utföra osäkra aktiviteter. Detta innebär att man använder verktyg som PowerShell, Windows Management Instrumentation (WMI) eller andra inbyggda applikationer för att undvika behovet av att ladda ner extern skadlig programvara.
  • Undvikande av säkerhetsförsvar : Säkerhetslösningar fokuserar ofta på att identifiera och blockera kända skadliga signaturer. Genom att använda legitima verktyg kan cyberbrottslingar kringgå signaturbaserade upptäcktsmekanismer, vilket gör det svårare för säkerhetssystem att känna igen och förhindra deras aktiviteter.
  • Missbruk av fjärradministrationsverktyg : Fjärradministrationsverktyg, som är viktiga för legitim systemhantering, kan missbrukas av cyberbrottslingar för obehörig åtkomst, sidoförflyttning och dataexfiltrering.

    • För att motverka dessa hot måste organisationer implementera en säkerhetsåtgärd i flera lager som inkluderar kontinuerlig övervakning, beteendebaserad upptäckt, användarutbildning och att hålla mjukvara och system uppdaterade för att mildra sårbarheter som kan utnyttjas av cyberbrottslingar.

    Trendigt

    Mest sedda

    Läser in...