Multi-License Discount Quote
Trusseldatabase Malware SSH-Slangeorm

SSH-Slangeorm

Med Mezo i Malware, Worms
Oversæt til:
Dansk

Et netværkskortværktøj ved navn SSH-Snake, som blev lavet til open source, er blevet genbrugt af svindelrelaterede aktører til deres angrebsoperationer. SSH-Snake fungerer som en selvmodificerende orm, der bruger SSH-legitimationsoplysninger opnået fra et kompromitteret system til at sprede sig på tværs af det målrettede netværk. Denne orm scanner selvstændigt genkendte legitimationsoplysninger og shell-historikfiler for at identificere dens efterfølgende handlinger.

SSH-slangeormen spredes på tværs af ofrenes netværk

Udgivet på GitHub i begyndelsen af januar 2024, er SSH-Snake karakteriseret ved sin udvikler som et potent værktøj designet til automatiseret netværksgennemgang gennem brug af SSH private nøgler opdaget på forskellige systemer.

Værktøjet genererer et detaljeret kort over et netværk og dets afhængigheder, der hjælper med vurderingen af potentielle kompromiser gennem SSH og SSH private nøgler, der stammer fra en specifik vært. Derudover har SSH-Snake evnen til at løse domæner med flere IPv4-adresser.

SSH-Snake fungerer som en fuldstændig selvreplikerende og filløs enhed og kan sammenlignes med en orm, der autonomt reproducerer og spreder sig på tværs af systemer. Dette shell-script letter ikke kun lateral bevægelse, men tilbyder også forbedret stealth og fleksibilitet sammenlignet med konventionelle SSH-orme.

SSH-Snake-værktøjet er blevet udnyttet i cyberkriminalitet

Forskere har identificeret tilfælde, hvor trusselsaktører har brugt SSH-Snake i faktiske cyberangreb til at indsamle legitimationsoplysninger, målrette IP-adresser og bash-kommandohistorie. Dette skete efter identifikation af en Command-and-Control-server (C2), der var vært for de indhentede data. Angrebene involverer aktiv udnyttelse af kendte sikkerhedssårbarheder i Apache ActiveMQ- og Atlassian Confluence-instanser for at etablere indledende adgang og implementere SSH-Snake.

SSH-Snake udnytter den anbefalede praksis med at bruge SSH-nøgler til at øge spredningen. Denne tilgang, der anses for at være mere intelligent og pålidelig, gør det muligt for trusselsaktører at udvide deres rækkevidde inden for et netværk, når de først har etableret fodfæste.

Udvikleren af SSH-Snake understreger, at værktøjet giver legitime systemejere et middel til at identificere svagheder i deres infrastruktur, før potentielle angribere gør proaktivt. Virksomheder opfordres til at udnytte SSH-Snake til at afdække eksisterende angrebsstier og træffe korrigerende foranstaltninger for at imødegå dem.

Cyberkriminelle drager ofte fordel af lovlig software til deres ondsindede formål

Cyberkriminelle udnytter ofte legitime softwareværktøjer til deres usikre aktiviteter og angrebsoperationer af flere årsager:

  • Camouflage og stealth : Legitime værktøjer har ofte legitime anvendelser, hvilket gør dem mindre tilbøjelige til at tiltrække opmærksomhed fra sikkerhedsovervågningssystemer. Cyberkriminelle udnytter dette aspekt til at blande sig med normal netværksaktivitet og undgå opdagelse.
  • Undgå mistanke : Sikkerhedsforanstaltninger er ofte designet til at identificere og blokere kendt skadelig software. Ved at bruge meget brugte og pålidelige værktøjer kan cyberkriminelle flyve under radaren og reducere sandsynligheden for at udløse sikkerhedsadvarsler.
  • Indbygget funktionalitet : Legitime værktøjer kommer typisk med adskillige funktioner, der kan udnyttes til usikre formål. Cyberkriminelle udnytter disse indbyggede muligheder til at udføre forskellige stadier af et angreb uden behov for at implementere yderligere, potentielt påviselig malware.
  • Living off the Land (LotL) Taktik : Cyberkriminelle anvender en taktik kendt som Living off the Land, hvor de bruger eksisterende værktøjer og hjælpeprogrammer til stede på et system til at udføre usikre aktiviteter. Dette involverer brug af værktøjer såsom PowerShell, Windows Management Instrumentation (WMI) eller andre indbyggede applikationer for at undgå behovet for at downloade ekstern malware.
  • Undgåelse af sikkerhedsforsvar : Sikkerhedsløsninger fokuserer ofte på at identificere og blokere kendte malware-signaturer. Ved at bruge legitime værktøjer kan cyberkriminelle omgå signaturbaserede detektionsmekanismer, hvilket gør det sværere for sikkerhedssystemer at genkende og forhindre deres aktiviteter.
  • Misbrug af fjernadministrationsværktøjer : Fjernadministrationsværktøjer, som er essentielle for lovlig systemadministration, kan misbruges af cyberkriminelle til uautoriseret adgang, lateral bevægelse og dataeksfiltrering.

    • For at imødegå disse trusler er organisationer nødt til at implementere en flerlags sikkerhedshandling, der inkluderer kontinuerlig overvågning, adfærdsbaseret detektion, brugeruddannelse og at holde software og systemer opdateret for at afbøde sårbarheder, der kunne udnyttes af cyberkriminelle.

    Trending

    Mest sete

    Indlæser...