SSH-Cuc de la serp
Una eina de mapatge de xarxa anomenada SSH-Snake, que es va convertir en codi obert, ha estat reutilitzada per actors relacionats amb el frau per a les seves operacions d'atac. SSH-Snake funciona com un cuc que s'automodifica, utilitzant les credencials SSH obtingudes d'un sistema compromès per propagar-se per la xarxa de destinació. Aquest cuc explora de manera autònoma els dipòsits de credencials reconeguts i els fitxers d'historial de shell per identificar les seves accions posteriors.
Taula de continguts
El cuc SSH-Snake s'estén per les xarxes de víctimes
Llançat a GitHub a principis de gener de 2024, SSH-Snake es caracteritza pel seu desenvolupador com una potent eina dissenyada per a la travessa automàtica de la xarxa mitjançant l'ús de claus privades SSH descobertes en diversos sistemes.
L'eina genera un mapa detallat d'una xarxa i les seves dependències, ajudant en l'avaluació de possibles compromisos mitjançant claus privades SSH i SSH originàries d'un host específic. A més, SSH-Snake té la capacitat de resoldre dominis amb múltiples adreces IPv4.
Funcionant com una entitat completament auto-replicativa i sense fitxers, SSH-Snake es pot comparar amb un cuc, que es reprodueix i es propaga de manera autònoma a través dels sistemes. Aquest script d'intèrpret d'ordres no només facilita el moviment lateral, sinó que també ofereix un sigil i una flexibilitat millorats en comparació amb els cucs SSH convencionals.
L'eina SSH-Snake ha estat explotada en operacions de cibercrim
Els investigadors han identificat casos en què els actors d'amenaça han emprat SSH-Snake en atacs cibernètics reals per recollir credencials, adreces IP de destinació i historial d'ordres bash. Això va passar després de la identificació d'un servidor d'ordres i control (C2) que allotjava les dades adquirides. Els atacs impliquen l'explotació activa de vulnerabilitats de seguretat conegudes a les instàncies d'Apache ActiveMQ i Atlassian Confluence per establir l'accés inicial i desplegar SSH-Snake.
SSH-Snake aprofita la pràctica recomanada d'utilitzar claus SSH per millorar la seva difusió. Aquest enfocament, considerat més intel·ligent i fiable, permet als actors de l'amenaça ampliar el seu abast dins d'una xarxa un cop s'estableixen.
El desenvolupador de SSH-Snake subratlla que l'eina proporciona als propietaris legítims del sistema un mitjà per identificar les debilitats de la seva infraestructura abans que els possibles atacants ho facin de manera proactiva. Es recomana a les empreses que aprofitin SSH-Snake per descobrir les vies d'atac existents i prendre mesures correctives per abordar-les.
Els ciberdelinqüents sovint s'aprofiten del programari legítim per als seus propòsits nefasts
Els ciberdelinqüents sovint utilitzen eines de programari legítimes per a les seves activitats insegures i operacions d'atac per diversos motius:
Per contrarestar aquestes amenaces, les organitzacions han d'implementar una línia d'acció de seguretat de múltiples capes que inclogui la supervisió contínua, la detecció basada en el comportament, l'educació dels usuaris i el manteniment del programari i els sistemes actualitzats per mitigar les vulnerabilitats que podrien ser explotades pels ciberdelinqüents.