Multi-License Discount Quote
Database delle minacce Malware SSH-Verme Serpente

SSH-Verme Serpente

Entro Mezo nel Malware, Worms
Traduci in:
Italiano

Uno strumento di mappatura della rete denominato SSH-Snake, che è stato reso open source, è stato riproposto da attori legati alle frodi per le loro operazioni di attacco. SSH-Snake funziona come un worm automodificante, utilizzando le credenziali SSH ottenute da un sistema compromesso per propagarsi attraverso la rete presa di mira. Questo worm scansiona autonomamente i repository di credenziali riconosciuti e i file di cronologia della shell per identificare le sue azioni successive.

Il worm SSH-Snake si diffonde nelle reti delle vittime

Rilasciato su GitHub all'inizio di gennaio 2024, SSH-Snake è caratterizzato dal suo sviluppatore come un potente strumento progettato per l'attraversamento automatizzato della rete attraverso l'uso di chiavi private SSH scoperte su vari sistemi.

Lo strumento genera una mappa dettagliata di una rete e delle sue dipendenze, aiutando nella valutazione di potenziali compromissioni tramite chiavi private SSH e SSH provenienti da un host specifico. Inoltre, SSH-Snake ha la capacità di risolvere domini con più indirizzi IPv4.

Funzionando come un'entità completamente autoreplicante e priva di file, SSH-Snake può essere paragonato a un worm, che si riproduce e si diffonde autonomamente tra i sistemi. Questo script della shell non solo facilita il movimento laterale ma offre anche maggiore furtività e flessibilità rispetto ai worm SSH convenzionali.

Lo strumento SSH-Snake è stato sfruttato in operazioni di criminalità informatica

I ricercatori hanno identificato casi in cui gli autori delle minacce hanno utilizzato SSH-Snake in attacchi informatici reali per raccogliere credenziali, prendere di mira indirizzi IP e cronologia dei comandi bash. Ciò è avvenuto successivamente all'identificazione di un server di Comando e Controllo (C2) che ospitava i dati acquisiti. Gli attacchi comportano lo sfruttamento attivo di vulnerabilità di sicurezza note nelle istanze di Apache ActiveMQ e Atlassian Confluence per stabilire l’accesso iniziale e distribuire SSH-Snake.

SSH-Snake sfrutta la pratica consigliata di utilizzare le chiavi SSH per migliorarne la diffusione. Questo approccio, ritenuto più intelligente e affidabile, consente agli autori delle minacce di estendere la propria portata all’interno di una rete una volta stabilito un punto d’appoggio.

Lo sviluppatore di SSH-Snake sottolinea che lo strumento fornisce ai legittimi proprietari di sistemi un mezzo per identificare i punti deboli della loro infrastruttura prima che i potenziali aggressori lo facciano in modo proattivo. Le aziende sono incoraggiate a sfruttare SSH-Snake per scoprire percorsi di attacco esistenti e adottare misure correttive per affrontarli.

I criminali informatici spesso sfruttano software legittimo per i loro scopi nefasti

I criminali informatici spesso sfruttano strumenti software legittimi per le loro attività non sicure e attaccano le operazioni per diversi motivi:

  • Mimetizzazione e azione furtiva : gli strumenti legittimi spesso hanno usi legittimi, il che li rende meno propensi ad attirare l'attenzione dei sistemi di monitoraggio della sicurezza. I criminali informatici sfruttano questo aspetto per confondersi con la normale attività di rete ed evitare il rilevamento.
  • Evitare i sospetti : le misure di sicurezza sono spesso progettate per identificare e bloccare software dannoso noto. Utilizzando strumenti ampiamente utilizzati e affidabili, i criminali informatici possono passare inosservati e ridurre la probabilità di attivare avvisi di sicurezza.
  • Funzionalità integrate : gli strumenti legittimi in genere sono dotati di numerose funzionalità che possono essere sfruttate per scopi non sicuri. I criminali informatici sfruttano queste funzionalità integrate per eseguire le varie fasi di un attacco senza la necessità di distribuire malware aggiuntivo, potenzialmente rilevabile.
  • Tattiche Living off the Land (LotL) : i criminali informatici utilizzano una tattica nota come Living off the Land, in cui utilizzano strumenti e utilità esistenti presenti su un sistema per svolgere attività non sicure. Ciò implica l'utilizzo di strumenti come PowerShell, Strumentazione gestione Windows (WMI) o altre applicazioni native per evitare la necessità di scaricare malware esterno.
  • Evasione delle difese di sicurezza : le soluzioni di sicurezza spesso si concentrano sull'identificazione e sul blocco delle firme malware note. Utilizzando strumenti legittimi, i criminali informatici possono aggirare i meccanismi di rilevamento basati sulle firme, rendendo più difficile per i sistemi di sicurezza riconoscere e prevenire le loro attività.
  • Uso improprio degli strumenti di amministrazione remota : gli strumenti di amministrazione remota, essenziali per la gestione legittima del sistema, possono essere utilizzati in modo improprio dai criminali informatici per l'accesso non autorizzato, lo spostamento laterale e l'esfiltrazione dei dati.

    • Per contrastare queste minacce, le organizzazioni devono implementare una linea d’azione di sicurezza a più livelli che includa il monitoraggio continuo, il rilevamento basato sul comportamento, la formazione degli utenti e il mantenimento di software e sistemi aggiornati per mitigare le vulnerabilità che potrebbero essere sfruttate dai criminali informatici.

    Tendenza

    I più visti

    Caricamento in corso...