SSH- دودة الثعبان
تم إعادة استخدام أداة رسم خرائط الشبكة المسماة SSH-Snake، والتي أصبحت مفتوحة المصدر، من قبل جهات فاعلة مرتبطة بالاحتيال في عملياتها الهجومية. يعمل SSH-Snake كدودة ذاتية التعديل، وذلك باستخدام بيانات اعتماد SSH التي تم الحصول عليها من نظام مخترق للنشر عبر الشبكة المستهدفة. تقوم هذه الدودة بفحص مستودعات بيانات الاعتماد المعترف بها وملفات محفوظات الصدفة بشكل مستقل لتحديد إجراءاتها اللاحقة.
جدول المحتويات
تنتشر دودة SSH-Snake عبر شبكات الضحايا
تم إصدار SSH-Snake على GitHub في أوائل يناير 2024، ويتميز مطوره بأنه أداة قوية مصممة لاجتياز الشبكة تلقائيًا من خلال استخدام مفاتيح SSH الخاصة المكتشفة في أنظمة مختلفة.
تقوم الأداة بإنشاء خريطة تفصيلية للشبكة وتبعياتها، مما يساعد في تقييم التنازلات المحتملة من خلال مفاتيح SSH وSSH الخاصة الناشئة من مضيف محدد. بالإضافة إلى ذلك، يتمتع SSH-Snake بالقدرة على حل النطاقات ذات عناوين IPv4 المتعددة.
يعمل SSH-Snake ككيان ذاتي النسخ تمامًا وخالي من الملفات، ويمكن تشبيهه بالدودة، التي تتكاثر بشكل مستقل وتنتشر عبر الأنظمة. لا يعمل برنامج shell هذا على تسهيل الحركة الجانبية فحسب، بل يوفر أيضًا إمكانية التخفي والمرونة المحسنة مقارنةً بديدان SSH التقليدية.
تم استغلال أداة SSH-Snake في عمليات الجرائم الإلكترونية
حدد الباحثون الحالات التي استخدمت فيها الجهات الفاعلة في مجال التهديد SSH-Snake في هجمات إلكترونية فعلية لجمع بيانات الاعتماد وعناوين IP المستهدفة وسجل أوامر bash. حدث هذا بعد تحديد خادم القيادة والتحكم (C2) الذي يستضيف البيانات المكتسبة. تتضمن الهجمات الاستغلال النشط للثغرات الأمنية المعروفة في مثيلات Apache ActiveMQ وAtlassian Confluence لإنشاء وصول أولي ونشر SSH-Snake.
يستغل SSH-Snake الممارسة الموصى بها لاستخدام مفاتيح SSH لتعزيز انتشاره. وهذا النهج، الذي يعتبر أكثر ذكاءً وموثوقية، يمكّن الجهات الفاعلة في مجال التهديد من توسيع نطاق وصولها داخل الشبكة بمجرد إنشاء موطئ قدم لها.
يؤكد مطور SSH-Snake على أن الأداة توفر لأصحاب النظام الشرعيين وسيلة لتحديد نقاط الضعف في بنيتهم التحتية قبل أن يقوم المهاجمون المحتملون بذلك بشكل استباقي. يتم تشجيع الشركات على الاستفادة من SSH-Snake للكشف عن مسارات الهجوم الحالية واتخاذ الإجراءات التصحيحية لمعالجتها.
غالبًا ما يستغل مجرمو الإنترنت البرامج المشروعة لأغراضهم الشائنة
كثيرًا ما يستغل مجرمو الإنترنت أدوات برمجية مشروعة للقيام بأنشطتهم غير الآمنة وعمليات الهجوم لعدة أسباب:
ولمواجهة هذه التهديدات، تحتاج المؤسسات إلى تنفيذ خط عمل أمني متعدد الطبقات يتضمن المراقبة المستمرة، والكشف القائم على السلوك، وتثقيف المستخدم، والحفاظ على تحديث البرامج والأنظمة للتخفيف من نقاط الضعف التي يمكن أن يستغلها مجرمون الإنترنت.