Multi-License Discount Quote
Base de dades d'amenaces Malware SSH-Cuc de la serp

SSH-Cuc de la serp

El Mezo el Malware, Worms
Traduir a:
Català

Una eina de mapatge de xarxa anomenada SSH-Snake, que es va convertir en codi obert, ha estat reutilitzada per actors relacionats amb el frau per a les seves operacions d'atac. SSH-Snake funciona com un cuc que s'automodifica, utilitzant les credencials SSH obtingudes d'un sistema compromès per propagar-se per la xarxa de destinació. Aquest cuc explora de manera autònoma els dipòsits de credencials reconeguts i els fitxers d'historial de shell per identificar les seves accions posteriors.

El cuc SSH-Snake s'estén per les xarxes de víctimes

Llançat a GitHub a principis de gener de 2024, SSH-Snake es caracteritza pel seu desenvolupador com una potent eina dissenyada per a la travessa automàtica de la xarxa mitjançant l'ús de claus privades SSH descobertes en diversos sistemes.

L'eina genera un mapa detallat d'una xarxa i les seves dependències, ajudant en l'avaluació de possibles compromisos mitjançant claus privades SSH i SSH originàries d'un host específic. A més, SSH-Snake té la capacitat de resoldre dominis amb múltiples adreces IPv4.

Funcionant com una entitat completament auto-replicativa i sense fitxers, SSH-Snake es pot comparar amb un cuc, que es reprodueix i es propaga de manera autònoma a través dels sistemes. Aquest script d'intèrpret d'ordres no només facilita el moviment lateral, sinó que també ofereix un sigil i una flexibilitat millorats en comparació amb els cucs SSH convencionals.

L'eina SSH-Snake ha estat explotada en operacions de cibercrim

Els investigadors han identificat casos en què els actors d'amenaça han emprat SSH-Snake en atacs cibernètics reals per recollir credencials, adreces IP de destinació i historial d'ordres bash. Això va passar després de la identificació d'un servidor d'ordres i control (C2) que allotjava les dades adquirides. Els atacs impliquen l'explotació activa de vulnerabilitats de seguretat conegudes a les instàncies d'Apache ActiveMQ i Atlassian Confluence per establir l'accés inicial i desplegar SSH-Snake.

SSH-Snake aprofita la pràctica recomanada d'utilitzar claus SSH per millorar la seva difusió. Aquest enfocament, considerat més intel·ligent i fiable, permet als actors de l'amenaça ampliar el seu abast dins d'una xarxa un cop s'estableixen.

El desenvolupador de SSH-Snake subratlla que l'eina proporciona als propietaris legítims del sistema un mitjà per identificar les debilitats de la seva infraestructura abans que els possibles atacants ho facin de manera proactiva. Es recomana a les empreses que aprofitin SSH-Snake per descobrir les vies d'atac existents i prendre mesures correctives per abordar-les.

Els ciberdelinqüents sovint s'aprofiten del programari legítim per als seus propòsits nefasts

Els ciberdelinqüents sovint utilitzen eines de programari legítimes per a les seves activitats insegures i operacions d'atac per diversos motius:

  • Camuflatge i sigil : les eines legítimes sovint tenen usos legítims, cosa que fa que sigui menys probable que atraguin l'atenció dels sistemes de control de seguretat. Els ciberdelinqüents aprofiten aquest aspecte per integrar-se amb l'activitat normal de la xarxa i evitar la detecció.
  • Evitar sospita : sovint les mesures de seguretat estan dissenyades per identificar i bloquejar programari maliciós conegut. Mitjançant l'ús d'eines àmpliament utilitzades i de confiança, els ciberdelinqüents poden passar per sota del radar i reduir la probabilitat d'activar alertes de seguretat.
  • Funcionalitat integrada : les eines legítimes solen incloure nombroses funcionalitats que es poden explotar amb finalitats no segures. Els ciberdelinqüents aprofiten aquestes capacitats integrades per executar diverses etapes d'un atac sense necessitat de desplegar programari maliciós addicional potencialment detectable.
  • Tàctiques de Viure de la Terra (LotL) : els cibercriminals utilitzen una tàctica coneguda com Viure de la Terra, on utilitzen les eines i les utilitats existents presents en un sistema per dur a terme activitats insegures. Això implica utilitzar eines com PowerShell, Windows Management Instrumentation (WMI) o altres aplicacions natives per evitar la necessitat de descarregar programari maliciós extern.
  • Evasió de les defenses de seguretat : les solucions de seguretat sovint se centren a identificar i bloquejar signatures de programari maliciós conegudes. Mitjançant l'ús d'eines legítimes, els ciberdelinqüents poden evitar els mecanismes de detecció basats en signatures, cosa que dificulta que els sistemes de seguretat reconeguin i impedeixin les seves activitats.
  • Abusar de les eines d'administració remota : les eines d'administració remota, que són essencials per a la gestió legítima del sistema, poden ser abusades pels ciberdelinqüents per a l'accés no autoritzat, el moviment lateral i l'exfiltració de dades.

    • Per contrarestar aquestes amenaces, les organitzacions han d'implementar una línia d'acció de seguretat de múltiples capes que inclogui la supervisió contínua, la detecció basada en el comportament, l'educació dels usuaris i el manteniment del programari i els sistemes actualitzats per mitigar les vulnerabilitats que podrien ser explotades pels ciberdelinqüents.

    Tendència

    Més vist

    Carregant...