Multi-License Discount Quote
Veszély-adatbázis Malware SSH-Snake Worm

SSH-Snake Worm

Mezo -ra Malware, Worms-ben
Fordítás ide:
Magyar

Az SSH-Snake nevű hálózatleképezési eszközt, amelyet nyílt forráskódúvá tettek, a csalással kapcsolatos szereplők újra felhasználták támadási műveleteikhez. Az SSH-Snake önmódosító féregként működik, és egy kompromittált rendszertől kapott SSH hitelesítő adatokat használ a célhálózaton való terjedéshez. Ez a féreg önállóan ellenőrzi a felismert hitelesítési adattárakat és a shell-előzményfájlokat, hogy azonosítsa a későbbi műveleteit.

Az SSH-Snake Worm átterjed az áldozatok hálózatán

A GitHubon 2024. január elején kiadott SSH-Snake-t a fejlesztője úgy jellemzi, mint egy hatékony eszközt, amelyet automatizált hálózati bejárásra terveztek a különféle rendszereken felfedezett SSH privát kulcsok használatával.

Az eszköz részletes térképet készít a hálózatról és annak függőségeiről, segítve a lehetséges kompromisszumok felmérését egy adott gazdagéptől származó SSH és SSH privát kulcsok révén. Ezenkívül az SSH-Snake képes feloldani a több IPv4-címmel rendelkező tartományokat.

A teljesen önreplikáló és fájl nélküli entitásként működő SSH-Snake egy féreghez hasonlítható, amely autonóm módon reprodukál és terjed a rendszerek között. Ez a shell script nemcsak az oldalirányú mozgást könnyíti meg, hanem a hagyományos SSH férgekhez képest nagyobb lopakodást és rugalmasságot is kínál.

Az SSH-Snake eszközt kiberbűnözési műveletekben használták ki

A kutatók olyan eseteket azonosítottak, amikor a fenyegetés szereplői az SSH-Snake-et alkalmazták tényleges kibertámadások során hitelesítő adatok, cél IP-címek és bash parancselőzmények összegyűjtésére. Ez a megszerzett adatok tárolására szolgáló parancsnoki és vezérlő (C2) szerver azonosítását követően történt. A támadások az Apache ActiveMQ és az Atlassian Confluence példányok ismert biztonsági réseinek aktív kihasználását foglalják magukban a kezdeti hozzáférés létrehozása és az SSH-Snake telepítése érdekében.

Az SSH-Snake kihasználja az SSH-kulcsok használatának ajánlott gyakorlatát a terjedésének fokozására. Ez az intelligensebbnek és megbízhatóbbnak ítélt megközelítés lehetővé teszi a fenyegetés szereplői számára, hogy kiterjesszék hatókörüket a hálózaton belül, miután megvették a lábukat.

Az SSH-Snake fejlesztője hangsúlyozza, hogy az eszköz a jogos rendszertulajdonosok számára lehetőséget biztosít az infrastruktúra gyenge pontjainak azonosítására, mielőtt a potenciális támadók megtennék. A vállalatokat arra bátorítjuk, hogy használják ki az SSH-Snake-t a meglévő támadási utak feltárására, és tegyenek korrekciós intézkedéseket azok kezelésére.

A kiberbűnözők gyakran használják ki a törvényes szoftver előnyeit aljas céljaik érdekében

A kiberbűnözők gyakran használnak törvényes szoftvereszközöket nem biztonságos tevékenységeikhez és támadási műveleteikhez több okból is:

  • Álcázás és lopakodás : A törvényes eszközöknek gyakran jogos a felhasználása, így kevésbé valószínű, hogy felhívják magukra a biztonsági megfigyelőrendszerek figyelmét. A kiberbűnözők kihasználják ezt a szempontot, hogy beleolvadjanak a normál hálózati tevékenységbe, és elkerüljék az észlelést.
  • A gyanú elkerülése : A biztonsági intézkedéseket gyakran az ismert rosszindulatú szoftverek azonosítására és blokkolására tervezték. A széles körben használt és megbízható eszközök használatával a kiberbűnözők a radar alá repülhetnek, és csökkenthetik a biztonsági riasztások kiváltásának valószínűségét.
  • Beépített funkcionalitás : A törvényes eszközök általában számos olyan funkcióval rendelkeznek, amelyek nem biztonságos célokra kihasználhatók. A kiberbűnözők ezeket a beépített képességeket kihasználva hajtják végre a támadás különböző szakaszait anélkül, hogy további, potenciálisan észlelhető rosszindulatú programokat kellene telepítenie.
  • Living off the Land (LotL) taktika : A kiberbűnözők a Living off the Land-ként ismert taktikát alkalmazzák, ahol a rendszerben meglévő eszközöket és segédprogramokat használnak nem biztonságos tevékenységek végrehajtására. Ehhez olyan eszközöket kell használni, mint a PowerShell, a Windows Management Instrumentation (WMI) vagy más natív alkalmazások, hogy elkerüljék a külső rosszindulatú programok letöltését.
  • A biztonsági védelem elkerülése : A biztonsági megoldások gyakran az ismert rosszindulatú programok azonosítására és blokkolására összpontosítanak. Legális eszközök használatával a kiberbűnözők megkerülhetik az aláírás-alapú észlelési mechanizmusokat, ami megnehezíti a biztonsági rendszerek számára tevékenységeik felismerését és megakadályozását.
  • Távoli adminisztrációs eszközökkel való visszaélés : A távfelügyeleti eszközökkel, amelyek elengedhetetlenek a törvényes rendszerkezeléshez, a kiberbűnözők visszaélhetnek jogosulatlan hozzáférés, oldalirányú mozgás és adatszivárgás miatt.

    • E fenyegetések leküzdése érdekében a szervezeteknek többrétegű biztonsági intézkedést kell végrehajtaniuk, amely magában foglalja a folyamatos megfigyelést, a viselkedésen alapuló észlelést, a felhasználók oktatását, valamint a szoftverek és rendszerek naprakészen tartását, hogy csökkentsék a kiberbűnözők által kihasználható sebezhetőségeket.

    Felkapott

    Legnézettebb

    Betöltés...