Multi-License Discount Quote
Ohtude andmebaas Malware SSH-Snake Worm

SSH-Snake Worm

Aastaks Mezo aastal Malware, Worms
Tõlgi:
Eesti

SSH-Snake-i nimelise võrgukaardistamise tööriista, mis muudeti avatud lähtekoodiga, on pettusega seotud osalejad oma ründeoperatsioonide jaoks uuesti kasutusele võtnud. SSH-Snake toimib isemodifitseeriva ussina, kasutades sihitud võrgus levimiseks ohustatud süsteemist saadud SSH-mandaate. See uss kontrollib iseseisvalt tuvastatud mandaatide hoidlaid ja kesta ajaloo faile, et tuvastada oma edasised toimingud.

SSH-Snake Worm levib ohvrite võrkudes

2024. aasta jaanuari alguses GitHubis välja antud SSH-Snake'i iseloomustab selle arendaja kui tõhus tööriist, mis on loodud automatiseeritud võrgu läbimiseks, kasutades erinevates süsteemides avastatud SSH privaatvõtmeid.

Tööriist loob üksikasjaliku kaardi võrgust ja selle sõltuvustest, aidates hinnata võimalikke kompromisse SSH ja SSH privaatvõtmete kaudu, mis pärinevad konkreetsest hostist. Lisaks on SSH-Snake'il võimalus lahendada mitme IPv4-aadressiga domeene.

SSH-Snake'i, mis toimib täielikult isepaljuneva ja failivaba üksusena, võib võrrelda ussiga, mis reprodutseerib iseseisvalt ja levib süsteemide vahel. See kestaskript ei hõlbusta mitte ainult külgsuunalist liikumist, vaid pakub ka paremat vargsi ja paindlikkust võrreldes tavaliste SSH-ussidega.

SSH-Snake'i tööriista on küberkuritegevuses ära kasutatud

Teadlased on tuvastanud juhtumeid, kus ohus osalejad on kasutanud SSH-Snake'i tegelikes küberrünnakutes, et koguda mandaate, sihtida IP-aadresse ja bash-käskude ajalugu. See juhtus pärast omandatud andmeid majutava käsu- ja juhtimisserveri (C2) tuvastamist. Rünnakud hõlmavad Apache ActiveMQ ja Atlassian Confluence'i eksemplaride teadaolevate turvaaukude aktiivset ärakasutamist esialgse juurdepääsu loomiseks ja SSH-Snake'i juurutamiseks.

SSH-Snake kasutab selle leviku suurendamiseks SSH-võtmete kasutamise soovitatavat tava. See intelligentsemaks ja usaldusväärsemaks peetav lähenemisviis võimaldab ohus osalejatel laiendada oma haaret võrgustikus, kui nad on tugipunkti loonud.

SSH-Snake'i arendaja rõhutab, et tööriist annab seaduslikele süsteemiomanikele võimaluse tuvastada oma infrastruktuuri nõrkused enne, kui potentsiaalsed ründajad seda ennetavalt teevad. Ettevõtetel soovitatakse kasutada SSH-Snake'i olemasolevate rünnakute leidmiseks ja nende lahendamiseks parandusmeetmete võtmiseks.

Küberkurjategijad kasutavad sageli seaduslikku tarkvara oma alatutel eesmärkidel ära

Küberkurjategijad kasutavad oma ebaturvalisteks tegevusteks ja rünnakuteks sageli seaduslikke tarkvaratööriistu mitmel põhjusel:

  • Kamuflaaž ja vargsi : seaduspärastel tööriistadel on sageli seaduslik kasutus, mistõttu need ei tõmba turvaseiresüsteemide tähelepanu. Küberkurjategijad kasutavad seda aspekti tavapärase võrgutegevusega sulandumiseks ja tuvastamise vältimiseks.
  • Kahtluste vältimine : turvameetmed on sageli mõeldud teadaoleva pahatahtliku tarkvara tuvastamiseks ja blokeerimiseks. Kasutades laialdaselt kasutatavaid ja usaldusväärseid tööriistu, võivad küberkurjategijad lennata radari alla ja vähendada turvahoiatuste käivitamise tõenäosust.
  • Sisseehitatud funktsionaalsus : legitiimsetel tööriistadel on tavaliselt palju funktsioone, mida saab ebaturvalistel eesmärkidel ära kasutada. Küberkurjategijad kasutavad neid sisseehitatud võimalusi rünnaku erinevate etappide läbiviimiseks, ilma et oleks vaja juurutada täiendavat, potentsiaalselt tuvastatavat pahavara.
  • Maast eemal elamise (LotL) taktikad : küberkurjategijad kasutavad taktikat, mida tuntakse kui maalt elamist, kus nad kasutavad süsteemis olemasolevaid tööriistu ja utiliite ohtlike tegevuste läbiviimiseks. See hõlmab selliste tööriistade nagu PowerShell, Windows Management Instrumentation (WMI) või muude kohalike rakenduste kasutamist, et vältida välise pahavara allalaadimise vajadust.
  • Turvameetmetest kõrvalehoidmine : turvalahendused keskenduvad sageli teadaoleva pahavarasignatuuride tuvastamisele ja blokeerimisele. Legitiimseid tööriistu kasutades saavad küberkurjategijad allkirjapõhistest tuvastamismehhanismidest mööda minna, muutes turvasüsteemidel nende tegevuse äratundmise ja ennetamise raskemaks.
  • Kaughaldustööriistade kuritarvitamine : kaughaldustööriistu, mis on süsteemi legitiimseks haldamiseks hädavajalikud, võivad küberkurjategijad kuritarvitada volitamata juurdepääsu, külgsuunalise liikumise ja andmete väljafiltreerimise eesmärgil.

    • Nende ohtude vastu võitlemiseks peavad organisatsioonid rakendama mitmetasandilist turbetegevust, mis hõlmab pidevat jälgimist, käitumispõhist tuvastamist, kasutajate koolitamist ning tarkvara ja süsteemide ajakohastamist, et leevendada küberkurjategijate poolt ärakasutavaid haavatavusi.

    Trendikas

    Enim vaadatud

    Laadimine...