SSH-käärmemato
SSH-Snake-niminen verkkokartoitustyökalu, josta tehtiin avoimen lähdekoodin käyttö, on omaksuttu petokseen liittyvien toimijoiden hyökkäystoimintoihinsa. SSH-Snake toimii itsemuovautuvana matona, joka käyttää vaarantuneesta järjestelmästä saatuja SSH-tunnuksia levittääkseen kohdeverkon yli. Tämä mato tarkistaa itsenäisesti tunnistetut tunnistetietovarastot ja komentotulkkihistoriatiedostot tunnistaakseen myöhempiä toimiaan.
Sisällysluettelo
SSH-Snake-mato leviää uhrien verkostoissa
GitHubissa tammikuun 2024 alussa julkaistulle SSH-Snakelle on kehittäjänsä luonnehdittu tehokkaaksi työkaluksi, joka on suunniteltu automatisoituun verkon läpikulkuun käyttämällä eri järjestelmistä löydettyjä yksityisiä SSH-avaimia.
Työkalu luo yksityiskohtaisen kartan verkosta ja sen riippuvuuksista, mikä auttaa arvioimaan mahdollisia kompromisseja tietystä isännästä peräisin olevien SSH- ja SSH-yksityisten avainten kautta. Lisäksi SSH-Snake pystyy ratkaisemaan verkkotunnuksia, joissa on useita IPv4-osoitteita.
Täysin itseään replikoituvana ja tiedostottomana kokonaisuutena toimiva SSH-Snake voidaan verrata matoon, joka toistuu itsenäisesti ja leviää järjestelmissä. Tämä shell-skripti ei vain helpota sivuttaisliikettä, vaan tarjoaa myös parannettua varkautta ja joustavuutta perinteisiin SSH-madoihin verrattuna.
SSH-Snake-työkalua on käytetty hyväksi tietoverkkorikollisissa toimissa
Tutkijat ovat havainneet tapauksia, joissa uhkatoimijat ovat käyttäneet SSH-Snakea todellisissa kyberhyökkäyksissä valtuustietojen, IP-osoitteiden kohdentamiseen ja bash-komentohistorian keräämiseen. Tämä tapahtui sen jälkeen, kun hankittuja tietoja isännöivä Command-and-Control (C2) -palvelin tunnistettiin. Hyökkäyksissä käytetään aktiivisesti tunnettuja tietoturva-aukkoja Apache ActiveMQ- ja Atlassian Confluence -esiintymissä alkupääsyn luomiseksi ja SSH-Snaken käyttöönottamiseksi.
SSH-Snake hyödyntää suositeltua käytäntöä käyttää SSH-avaimia leviämisen tehostamiseksi. Tämä älykkäämpänä ja luotettavampana pidetty lähestymistapa antaa uhkatoimijoille mahdollisuuden laajentaa kattavuuttaan verkoston sisällä, kun he saavat jalansijaa.
SSH-Snaken kehittäjä korostaa, että työkalu tarjoaa laillisille järjestelmän omistajille keinon tunnistaa infrastruktuurinsa heikkoudet ennen kuin mahdolliset hyökkääjät tekevät ennakoivasti. Yrityksiä rohkaistaan hyödyntämään SSH-Snakea olemassa olevien hyökkäyspolkujen paljastamiseksi ja korjaamaan niitä.
Verkkorikolliset käyttävät usein hyväkseen laillisia ohjelmistoja ilkeisiin tarkoituksiinsa
Kyberrikolliset käyttävät usein hyväkseen laillisia ohjelmistotyökaluja vaarallisiin toimintoihinsa ja hyökkäystoimintoihinsa useista syistä:
Näiden uhkien torjumiseksi organisaatioiden on otettava käyttöön monitasoinen tietoturvatoimintalinja, joka sisältää jatkuvan valvonnan, käyttäytymiseen perustuvan havaitsemisen, käyttäjien koulutuksen sekä ohjelmistojen ja järjestelmien päivittämisen vähentämään haavoittuvuuksia, joita kyberrikolliset voivat hyödyntää.