Multi-License Discount Quote
База данни за заплахи Malware SSH-змийски червей

SSH-змийски червей

До Mezo през Malware, Wormsг
Превод на:
български език

Инструмент за мрежово картографиране, наречен SSH-Snake, който беше направен с отворен код, беше преназначен от участници, свързани с измами, за техните операции за атака. SSH-Snake функционира като самомодифициран червей, използващ SSH идентификационни данни, получени от компрометирана система, за да се разпространява в целевата мрежа. Този червей сканира автономно разпознати хранилища на идентификационни данни и файлове с история на обвивките, за да идентифицира последващите си действия.

SSH-Snake Worm се разпространява в мрежите на жертвите

Пуснат на GitHub в началото на януари 2024 г., SSH-Snake се характеризира от своя разработчик като мощен инструмент, предназначен за автоматизирано преминаване през мрежата чрез използване на SSH частни ключове, открити в различни системи.

Инструментът генерира подробна карта на мрежа и нейните зависимости, подпомагайки оценката на потенциални компромиси чрез SSH и SSH частни ключове, произхождащи от конкретен хост. Освен това SSH-Snake има способността да разрешава домейни с множество IPv4 адреси.

Функциониращ като напълно самовъзпроизвеждащ се обект без файлове, SSH-Snake може да бъде оприличен на червей, който се възпроизвежда автономно и се разпространява в системите. Този shell скрипт не само улеснява страничното движение, но също така предлага подобрена скритост и гъвкавост в сравнение с конвенционалните SSH червеи.

Инструментът SSH-Snake е бил използван в операции срещу киберпрестъпления

Изследователите са идентифицирали случаи, в които участниците в заплахата са използвали SSH-Snake в реални кибератаки за събиране на идентификационни данни, насочване към IP адреси и история на командите на bash. Това се случи след идентифицирането на команден и контролен (C2) сървър, хостващ придобитите данни. Атаките включват активно използване на известни уязвимости в сигурността в екземплярите на Apache ActiveMQ и Atlassian Confluence за установяване на първоначален достъп и внедряване на SSH-Snake.

SSH-Snake използва препоръчителната практика за използване на SSH ключове, за да подобри разпространението си. Този подход, считан за по-интелигентен и надежден, позволява на участниците в заплахата да разширят обхвата си в мрежата, след като установят опорна точка.

Разработчикът на SSH-Snake подчертава, че инструментът предоставя на законните собственици на системи средства за идентифициране на слабости в тяхната инфраструктура, преди потенциалните нападатели да го направят проактивно. Компаниите се насърчават да използват SSH-Snake, за да разкрият съществуващи пътища на атака и да предприемат коригиращи мерки за справяне с тях.

Киберпрестъпниците често се възползват от легитимния софтуер за своите престъпни цели

Киберпрестъпниците често експлоатират легитимни софтуерни инструменти за своите опасни дейности и атакуващи операции поради няколко причини:

  • Камуфлаж и стелт : Легитимните инструменти често имат легитимни употреби, което ги прави по-малко вероятно да привлекат вниманието от системите за наблюдение на сигурността. Киберпрестъпниците използват този аспект, за да се слеят с нормалната мрежова активност и да избегнат откриването.
  • Избягване на подозрение : Мерките за сигурност често са предназначени да идентифицират и блокират известен зловреден софтуер. Използвайки широко използвани и надеждни инструменти, киберпрестъпниците могат да се скрият от радара и да намалят вероятността от задействане на сигнали за сигурност.
  • Вградена функционалност : Легитимните инструменти обикновено идват с множество функционалности, които могат да бъдат използвани за опасни цели. Киберпрестъпниците използват тези вградени възможности, за да изпълнят различни етапи на атака, без да е необходимо да внедряват допълнителен, потенциално откриваем, зловреден софтуер.
  • Тактики за живеене извън земята (LotL) : Киберпрестъпниците използват тактика, известна като „Живот извън земята“, при която използват съществуващи инструменти и помощни програми, налични в системата, за извършване на опасни дейности. Това включва използването на инструменти като PowerShell, Windows Management Instrumentation (WMI) или други собствени приложения, за да се избегне необходимостта от изтегляне на външен зловреден софтуер.
  • Избягване на защитата на сигурността : Решенията за сигурност често се фокусират върху идентифицирането и блокирането на известни сигнатури на зловреден софтуер. Използвайки легитимни инструменти, киберпрестъпниците могат да заобиколят механизмите за откриване, базирани на подписи, което затруднява системите за сигурност да разпознават и предотвратяват техните дейности.
  • Злоупотреба с инструменти за отдалечено администриране : Инструментите за отдалечено администриране, които са от съществено значение за легитимното управление на системата, могат да бъдат злоупотребявани от киберпрестъпници за неоторизиран достъп, странично движение и ексфилтриране на данни.

    • За да се противопоставят на тези заплахи, организациите трябва да внедрят многопластова линия на действие за сигурност, която включва непрекъснат мониторинг, откриване на базата на поведение, обучение на потребителите и актуализиране на софтуера и системите, за да смекчат уязвимостите, които могат да бъдат използвани от киберпрестъпниците.

    Тенденция

    Най-гледан

    Зареждане...