Multi-License Discount Quote
Baza prijetnji Malware SSH-Crv zmija

SSH-Crv zmija

Do Mezo. Malware, Worms. godine
Prevedi na:
Hrvatski

Alat za mapiranje mreže nazvan SSH-Snake, koji je otvoren kod, prenamijenili su akteri povezani s prijevarama za svoje operacije napada. SSH-Snake funkcionira kao samomodificirajući crv, koristeći SSH vjerodajnice dobivene od kompromitiranog sustava za širenje kroz ciljanu mrežu. Ovaj crv autonomno skenira prepoznata spremišta vjerodajnica i datoteke povijesti ljuski kako bi identificirao svoje naknadne radnje.

SSH-Snake Worm širi se mrežama žrtava

Objavljen na GitHubu početkom siječnja 2024., SSH-Snake karakterizira njegov razvojni programer kao moćan alat dizajniran za automatizirano prolaženje mrežom korištenjem SSH privatnih ključeva otkrivenih na različitim sustavima.

Alat generira detaljnu kartu mreže i njezinih ovisnosti, pomažući u procjeni potencijalnih kompromisa putem SSH-a i SSH privatnih ključeva koji potječu s određenog glavnog računala. Dodatno, SSH-Snake ima mogućnost rješavanja domena s više IPv4 adresa.

Funkcionirajući kao potpuno samoreplicirajući entitet bez datoteka, SSH-Snake se može usporediti s crvom koji se autonomno razmnožava i širi po sustavima. Ova skripta ljuske ne samo da olakšava bočno kretanje, već također nudi poboljšanu skrivenost i fleksibilnost u usporedbi s konvencionalnim SSH crvima.

Alat SSH-Snake iskorišten je u operacijama kibernetičkog kriminala

Istraživači su identificirali slučajeve u kojima su akteri prijetnji koristili SSH-Snake u stvarnim cyber napadima za prikupljanje vjerodajnica, ciljanih IP adresa i povijesti bash naredbi. To se dogodilo nakon identifikacije Command-and-Control (C2) poslužitelja na kojem su prikupljeni podaci. Napadi uključuju aktivno iskorištavanje poznatih sigurnosnih propusta u instancama Apache ActiveMQ i Atlassian Confluence kako bi se uspostavio početni pristup i implementirao SSH-Snake.

SSH-Snake iskorištava preporučenu praksu korištenja SSH ključeva kako bi poboljšao svoje širenje. Ovaj pristup, koji se smatra inteligentnijim i pouzdanijim, omogućuje akterima prijetnji da prošire svoj doseg unutar mreže nakon što uspostave uporište.

Programer SSH-Snakea naglašava da alat legitimnim vlasnicima sustava omogućuje identificiranje slabosti u njihovoj infrastrukturi prije nego što potencijalni napadači to učine proaktivno. Tvrtke se potiču da iskoriste SSH-Snake kako bi otkrile postojeće putove napada i poduzele korektivne mjere za njihovo rješavanje.

Cyberkriminalci često iskorištavaju legitiman softver za svoje opake svrhe

Kibernetički kriminalci često iskorištavaju legitimne softverske alate za svoje nesigurne aktivnosti i operacije napada zbog nekoliko razloga:

  • Kamuflaža i skrivenost : Legitimni alati često imaju legitimnu upotrebu, zbog čega je manja vjerojatnost da će privući pozornost sigurnosnih nadzornih sustava. Kibernetički kriminalci iskorištavaju ovaj aspekt kako bi se uklopili s normalnom mrežnom aktivnošću i izbjegli otkrivanje.
  • Izbjegavanje sumnje : Sigurnosne mjere često su osmišljene za prepoznavanje i blokiranje poznatog zlonamjernog softvera. Korištenjem široko korištenih i pouzdanih alata, kibernetički kriminalci mogu proći ispod radara i smanjiti vjerojatnost pokretanja sigurnosnih upozorenja.
  • Ugrađena funkcionalnost : Legitimni alati obično dolaze s brojnim funkcijama koje se mogu iskoristiti u nesigurne svrhe. Kibernetički kriminalci iskorištavaju ove ugrađene mogućnosti za izvođenje različitih faza napada bez potrebe za uvođenjem dodatnog zlonamjernog softvera koji se potencijalno može otkriti.
  • Taktika života izvan kopna (LotL) : Cyberkriminalci koriste taktiku poznatu kao život izvan zemlje, gdje koriste postojeće alate i pomoćne programe prisutne u sustavu za izvođenje nesigurnih aktivnosti. To uključuje korištenje alata kao što su PowerShell, Windows Management Instrumentation (WMI) ili drugih izvornih aplikacija kako bi se izbjegla potreba za preuzimanjem vanjskog zlonamjernog softvera.
  • Izbjegavanje sigurnosnih obrana : Sigurnosna rješenja često su usredotočena na prepoznavanje i blokiranje poznatih malware potpisa. Korištenjem legitimnih alata kibernetički kriminalci mogu zaobići mehanizme detekcije temeljene na potpisu, otežavajući sigurnosnim sustavima prepoznavanje i sprječavanje njihovih aktivnosti.
  • Zlouporaba alata za daljinsku administraciju : alate za daljinsku administraciju, koji su neophodni za legitimno upravljanje sustavom, kibernetički kriminalci mogu zlorabiti za neovlašteni pristup, bočno kretanje i eksfiltraciju podataka.

    • Kako bi se suprotstavile tim prijetnjama, organizacije moraju implementirati višeslojnu sigurnosnu liniju djelovanja koja uključuje kontinuirani nadzor, detekciju temeljenu na ponašanju, edukaciju korisnika i ažuriranje softvera i sustava kako bi se ublažile ranjivosti koje bi mogli iskoristiti kibernetički kriminalci.

    U trendu

    Nagledanije

    Učitavam...