Multi-License Discount Quote
قاعدة بيانات التهديد Malware SSH- دودة الثعبان

SSH- دودة الثعبان

بواسطة Mezo في Malware, Worms
ترجمة الى:
العربية

تم إعادة استخدام أداة رسم خرائط الشبكة المسماة SSH-Snake، والتي أصبحت مفتوحة المصدر، من قبل جهات فاعلة مرتبطة بالاحتيال في عملياتها الهجومية. يعمل SSH-Snake كدودة ذاتية التعديل، وذلك باستخدام بيانات اعتماد SSH التي تم الحصول عليها من نظام مخترق للنشر عبر الشبكة المستهدفة. تقوم هذه الدودة بفحص مستودعات بيانات الاعتماد المعترف بها وملفات محفوظات الصدفة بشكل مستقل لتحديد إجراءاتها اللاحقة.

تنتشر دودة SSH-Snake عبر شبكات الضحايا

تم إصدار SSH-Snake على GitHub في أوائل يناير 2024، ويتميز مطوره بأنه أداة قوية مصممة لاجتياز الشبكة تلقائيًا من خلال استخدام مفاتيح SSH الخاصة المكتشفة في أنظمة مختلفة.

تقوم الأداة بإنشاء خريطة تفصيلية للشبكة وتبعياتها، مما يساعد في تقييم التنازلات المحتملة من خلال مفاتيح SSH وSSH الخاصة الناشئة من مضيف محدد. بالإضافة إلى ذلك، يتمتع SSH-Snake بالقدرة على حل النطاقات ذات عناوين IPv4 المتعددة.

يعمل SSH-Snake ككيان ذاتي النسخ تمامًا وخالي من الملفات، ويمكن تشبيهه بالدودة، التي تتكاثر بشكل مستقل وتنتشر عبر الأنظمة. لا يعمل برنامج shell هذا على تسهيل الحركة الجانبية فحسب، بل يوفر أيضًا إمكانية التخفي والمرونة المحسنة مقارنةً بديدان SSH التقليدية.

تم استغلال أداة SSH-Snake في عمليات الجرائم الإلكترونية

حدد الباحثون الحالات التي استخدمت فيها الجهات الفاعلة في مجال التهديد SSH-Snake في هجمات إلكترونية فعلية لجمع بيانات الاعتماد وعناوين IP المستهدفة وسجل أوامر bash. حدث هذا بعد تحديد خادم القيادة والتحكم (C2) الذي يستضيف البيانات المكتسبة. تتضمن الهجمات الاستغلال النشط للثغرات الأمنية المعروفة في مثيلات Apache ActiveMQ وAtlassian Confluence لإنشاء وصول أولي ونشر SSH-Snake.

يستغل SSH-Snake الممارسة الموصى بها لاستخدام مفاتيح SSH لتعزيز انتشاره. وهذا النهج، الذي يعتبر أكثر ذكاءً وموثوقية، يمكّن الجهات الفاعلة في مجال التهديد من توسيع نطاق وصولها داخل الشبكة بمجرد إنشاء موطئ قدم لها.

يؤكد مطور SSH-Snake على أن الأداة توفر لأصحاب النظام الشرعيين وسيلة لتحديد نقاط الضعف في بنيتهم التحتية قبل أن يقوم المهاجمون المحتملون بذلك بشكل استباقي. يتم تشجيع الشركات على الاستفادة من SSH-Snake للكشف عن مسارات الهجوم الحالية واتخاذ الإجراءات التصحيحية لمعالجتها.

غالبًا ما يستغل مجرمو الإنترنت البرامج المشروعة لأغراضهم الشائنة

كثيرًا ما يستغل مجرمو الإنترنت أدوات برمجية مشروعة للقيام بأنشطتهم غير الآمنة وعمليات الهجوم لعدة أسباب:

  • التمويه والتخفي : غالبًا ما يكون للأدوات المشروعة استخدامات مشروعة، مما يجعلها أقل عرضة لجذب انتباه أنظمة المراقبة الأمنية. ويستفيد مجرمو الإنترنت من هذا الجانب للاندماج مع نشاط الشبكة العادي وتجنب اكتشافهم.
  • تجنب الشك : غالبًا ما يتم تصميم الإجراءات الأمنية لتحديد البرامج الضارة المعروفة وحظرها. ومن خلال استخدام أدوات موثوقة ومستخدمة على نطاق واسع، يمكن لمجرمي الإنترنت التخفي عن الرادار وتقليل احتمالية إطلاق التنبيهات الأمنية.
  • الوظائف المضمنة : تأتي الأدوات الشرعية عادةً مع العديد من الوظائف التي يمكن استغلالها لأغراض غير آمنة. ويستفيد مجرمو الإنترنت من هذه القدرات المضمنة لتنفيذ مراحل مختلفة من الهجوم دون الحاجة إلى نشر برامج ضارة إضافية يمكن اكتشافها.
  • تكتيكات العيش خارج الأرض (LotL) : يستخدم مجرمو الإنترنت تكتيكًا يُعرف باسم العيش خارج الأرض، حيث يستخدمون الأدوات والمرافق الموجودة على النظام لتنفيذ أنشطة غير آمنة. يتضمن ذلك استخدام أدوات مثل PowerShell أو Windows Management Instrumentation (WMI) أو تطبيقات أصلية أخرى لتجنب الحاجة إلى تنزيل برامج ضارة خارجية.
  • التهرب من الدفاعات الأمنية : تركز الحلول الأمنية غالبًا على تحديد وحظر توقيعات البرامج الضارة المعروفة. وباستخدام الأدوات المشروعة، يمكن لمجرمي الإنترنت تجاوز آليات الكشف القائمة على التوقيع، مما يجعل من الصعب على أنظمة الأمان التعرف على أنشطتهم ومنعها.
  • إساءة استخدام أدوات الإدارة عن بعد : يمكن إساءة استخدام أدوات الإدارة عن بعد، والتي تعتبر ضرورية لإدارة النظام المشروعة، من قبل مجرمي الإنترنت للوصول غير المصرح به، والحركة الجانبية، واستخراج البيانات.

    • ولمواجهة هذه التهديدات، تحتاج المؤسسات إلى تنفيذ خط عمل أمني متعدد الطبقات يتضمن المراقبة المستمرة، والكشف القائم على السلوك، وتثقيف المستخدم، والحفاظ على تحديث البرامج والأنظمة للتخفيف من نقاط الضعف التي يمكن أن يستغلها مجرمون الإنترنت.

    الشائع

    الأكثر مشاهدة

    احتيال البريد الإلكتروني "Geek Squad"

    Phishing, Spam
    34,832
    أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
    جار التحميل...