Multi-License Discount Quote
Uhatietokanta Malware SSH-käärmemato

SSH-käärmemato

Vuonna Mezo vuonna Malware, Worms
Käännä:
Suomi

SSH-Snake-niminen verkkokartoitustyökalu, josta tehtiin avoimen lähdekoodin käyttö, on omaksuttu petokseen liittyvien toimijoiden hyökkäystoimintoihinsa. SSH-Snake toimii itsemuovautuvana matona, joka käyttää vaarantuneesta järjestelmästä saatuja SSH-tunnuksia levittääkseen kohdeverkon yli. Tämä mato tarkistaa itsenäisesti tunnistetut tunnistetietovarastot ja komentotulkkihistoriatiedostot tunnistaakseen myöhempiä toimiaan.

SSH-Snake-mato leviää uhrien verkostoissa

GitHubissa tammikuun 2024 alussa julkaistulle SSH-Snakelle on kehittäjänsä luonnehdittu tehokkaaksi työkaluksi, joka on suunniteltu automatisoituun verkon läpikulkuun käyttämällä eri järjestelmistä löydettyjä yksityisiä SSH-avaimia.

Työkalu luo yksityiskohtaisen kartan verkosta ja sen riippuvuuksista, mikä auttaa arvioimaan mahdollisia kompromisseja tietystä isännästä peräisin olevien SSH- ja SSH-yksityisten avainten kautta. Lisäksi SSH-Snake pystyy ratkaisemaan verkkotunnuksia, joissa on useita IPv4-osoitteita.

Täysin itseään replikoituvana ja tiedostottomana kokonaisuutena toimiva SSH-Snake voidaan verrata matoon, joka toistuu itsenäisesti ja leviää järjestelmissä. Tämä shell-skripti ei vain helpota sivuttaisliikettä, vaan tarjoaa myös parannettua varkautta ja joustavuutta perinteisiin SSH-madoihin verrattuna.

SSH-Snake-työkalua on käytetty hyväksi tietoverkkorikollisissa toimissa

Tutkijat ovat havainneet tapauksia, joissa uhkatoimijat ovat käyttäneet SSH-Snakea todellisissa kyberhyökkäyksissä valtuustietojen, IP-osoitteiden kohdentamiseen ja bash-komentohistorian keräämiseen. Tämä tapahtui sen jälkeen, kun hankittuja tietoja isännöivä Command-and-Control (C2) -palvelin tunnistettiin. Hyökkäyksissä käytetään aktiivisesti tunnettuja tietoturva-aukkoja Apache ActiveMQ- ja Atlassian Confluence -esiintymissä alkupääsyn luomiseksi ja SSH-Snaken käyttöönottamiseksi.

SSH-Snake hyödyntää suositeltua käytäntöä käyttää SSH-avaimia leviämisen tehostamiseksi. Tämä älykkäämpänä ja luotettavampana pidetty lähestymistapa antaa uhkatoimijoille mahdollisuuden laajentaa kattavuuttaan verkoston sisällä, kun he saavat jalansijaa.

SSH-Snaken kehittäjä korostaa, että työkalu tarjoaa laillisille järjestelmän omistajille keinon tunnistaa infrastruktuurinsa heikkoudet ennen kuin mahdolliset hyökkääjät tekevät ennakoivasti. Yrityksiä rohkaistaan hyödyntämään SSH-Snakea olemassa olevien hyökkäyspolkujen paljastamiseksi ja korjaamaan niitä.

Verkkorikolliset käyttävät usein hyväkseen laillisia ohjelmistoja ilkeisiin tarkoituksiinsa

Kyberrikolliset käyttävät usein hyväkseen laillisia ohjelmistotyökaluja vaarallisiin toimintoihinsa ja hyökkäystoimintoihinsa useista syistä:

  • Naamiointi ja salailu : Laillisilla työkaluilla on usein laillista käyttötarkoitusta, mikä tekee niistä vähemmän todennäköisempiä kiinnittämään huomiota turvavalvontajärjestelmissä. Kyberrikolliset hyödyntävät tätä näkökohtaa sulautuakseen normaaliin verkkotoimintaan ja välttääkseen havaitsemisen.
  • Epäilyksen välttäminen : Suojaustoimenpiteet on usein suunniteltu tunnistamaan ja estämään tunnetut haittaohjelmat. Käyttämällä laajalti käytettyjä ja luotettuja työkaluja kyberrikolliset voivat lentää tutkan alle ja vähentää todennäköisyyttä turvahälytysten laukaisemisesta.
  • Sisäänrakennettu toiminnallisuus : Laillisissa työkaluissa on yleensä lukuisia toimintoja, joita voidaan hyödyntää vaarallisiin tarkoituksiin. Kyberrikolliset hyödyntävät näitä sisäänrakennettuja ominaisuuksia suorittaakseen hyökkäyksen eri vaiheita ilman tarvetta ottaa käyttöön ylimääräisiä, mahdollisesti havaittavia haittaohjelmia.
  • Living off the Land (LotL) -taktiikat : Kyberrikolliset käyttävät taktiikkaa, joka tunnetaan nimellä Living off the Land, jossa he käyttävät järjestelmässä olevia työkaluja ja apuohjelmia vaarallisten toimintojen suorittamiseen. Tämä edellyttää työkalujen, kuten PowerShellin, Windows Management Instrumentationin (WMI) tai muiden alkuperäisten sovellusten käyttöä ulkoisten haittaohjelmien lataamisen välttämiseksi.
  • Suojauskeinojen kiertäminen : Suojausratkaisut keskittyvät usein tunnettujen haittaohjelmien allekirjoitusten tunnistamiseen ja estämiseen. Laillisia työkaluja käyttämällä kyberrikolliset voivat ohittaa allekirjoituksiin perustuvat tunnistusmekanismit, mikä vaikeuttaa turvajärjestelmien tunnistamista ja estämistä.
  • Etähallintatyökalujen väärinkäyttö : Verkkorikolliset voivat väärinkäyttää etähallintatyökaluja, jotka ovat välttämättömiä järjestelmän laillisessa hallinnassa luvattoman käytön, sivuttaisliikkeen ja tietojen suodattamisen vuoksi.

    • Näiden uhkien torjumiseksi organisaatioiden on otettava käyttöön monitasoinen tietoturvatoimintalinja, joka sisältää jatkuvan valvonnan, käyttäytymiseen perustuvan havaitsemisen, käyttäjien koulutuksen sekä ohjelmistojen ja järjestelmien päivittämisen vähentämään haavoittuvuuksia, joita kyberrikolliset voivat hyödyntää.

    Trendaavat

    Eniten katsottu

    Ladataan...