Multi-License Discount Quote
Pangkalan Data Ancaman Malware SSH-Ular Cacing

SSH-Ular Cacing

Menjelang Mezo pada Malware, Worms
Terjemahkan ke
بهاس ملايو

Alat pemetaan rangkaian bernama SSH-Snake, yang dijadikan sumber terbuka, telah digunakan semula oleh pelaku berkaitan penipuan untuk operasi serangan mereka. SSH-Snake berfungsi sebagai cecacing yang mengubah suai sendiri, menggunakan kelayakan SSH yang diperoleh daripada sistem yang terjejas untuk disebarkan ke seluruh rangkaian yang disasarkan. Cacing ini secara autonomi mengimbas repositori bukti kelayakan yang diiktiraf dan fail sejarah shell untuk mengenal pasti tindakan seterusnya.

SSH-Snake Worm Merebak Merentasi Rangkaian Mangsa

Dikeluarkan di GitHub pada awal Januari 2024, SSH-Snake dicirikan oleh pembangunnya sebagai alat mujarab yang direka untuk traversal rangkaian automatik melalui penggunaan kunci peribadi SSH yang ditemui pada pelbagai sistem.

Alat ini menjana peta terperinci rangkaian dan kebergantungannya, membantu dalam penilaian potensi kompromi melalui kunci peribadi SSH dan SSH yang berasal daripada hos tertentu. Selain itu, SSH-Snake mempunyai keupayaan untuk menyelesaikan domain dengan berbilang alamat IPv4.

Berfungsi sebagai entiti mereplikasi diri dan tanpa fail sepenuhnya, SSH-Snake boleh disamakan dengan cacing, membiak dan merebak secara autonomi merentasi sistem. Skrip cangkerang ini bukan sahaja memudahkan pergerakan sisi tetapi juga menawarkan stealth dan fleksibiliti yang dipertingkatkan berbanding cacing SSH konvensional.

Alat SSH-Snake Telah Dieksploitasi dalam Operasi Jenayah Siber

Penyelidik telah mengenal pasti kejadian di mana pelaku ancaman telah menggunakan SSH-Snake dalam serangan siber sebenar untuk mengumpul bukti kelayakan, alamat IP sasaran dan sejarah arahan bash. Ini berlaku selepas pengenalpastian pelayan Command-and-Control (C2) yang mengehos data yang diperoleh. Serangan itu melibatkan eksploitasi aktif terhadap kelemahan keselamatan yang diketahui dalam contoh Apache ActiveMQ dan Atlassian Confluence untuk mewujudkan akses awal dan menggunakan SSH-Snake.

SSH-Snake mengeksploitasi amalan yang disyorkan untuk menggunakan kunci SSH untuk meningkatkan penyebarannya. Pendekatan ini, yang dianggap lebih bijak dan boleh dipercayai, membolehkan pelaku ancaman meluaskan jangkauan mereka dalam rangkaian sebaik sahaja mereka bertapak.

Pembangun SSH-Snake menekankan bahawa alat itu menyediakan pemilik sistem yang sah dengan cara untuk mengenal pasti kelemahan dalam infrastruktur mereka sebelum penyerang berpotensi melakukannya secara proaktif. Syarikat digalakkan untuk memanfaatkan SSH-Snake untuk mendedahkan laluan serangan sedia ada dan mengambil langkah pembetulan untuk menanganinya.

Penjenayah Siber Selalunya Memanfaatkan Perisian Sah untuk Tujuan Mereka yang Tidak Baik

Penjenayah siber kerap mengeksploitasi alat perisian yang sah untuk aktiviti tidak selamat dan operasi serangan mereka disebabkan beberapa sebab:

  • Penyamaran dan Stealth : Alat yang sah selalunya mempunyai kegunaan yang sah, menjadikannya kurang berkemungkinan menarik perhatian daripada sistem pemantauan keselamatan. Penjenayah siber memanfaatkan aspek ini untuk digabungkan dengan aktiviti rangkaian biasa dan mengelakkan pengesanan.
  • Mengelakkan Kecurigaan : Langkah keselamatan sering direka untuk mengenal pasti dan menyekat perisian hasad yang diketahui. Dengan menggunakan alat yang digunakan secara meluas dan dipercayai, penjenayah siber boleh terbang di bawah radar dan mengurangkan kemungkinan mencetuskan amaran keselamatan.
  • Fungsi Terbina dalam : Alat yang sah biasanya disertakan dengan pelbagai fungsi yang boleh dieksploitasi untuk tujuan yang tidak selamat. Penjenayah siber memanfaatkan keupayaan terbina dalam ini untuk melaksanakan pelbagai peringkat serangan tanpa perlu menggunakan perisian hasad tambahan yang mungkin boleh dikesan.
  • Taktik Living Off the Land (LotL) : Penjenayah siber menggunakan taktik yang dikenali sebagai Living off the Land, di mana mereka menggunakan alatan dan utiliti sedia ada pada sistem untuk menjalankan aktiviti yang tidak selamat. Ini melibatkan penggunaan alatan seperti PowerShell, Instrumentasi Pengurusan Windows (WMI) atau aplikasi asli lain untuk mengelakkan keperluan memuat turun perisian hasad luaran.
  • Pengelakan Pertahanan Keselamatan : Penyelesaian keselamatan sering menumpukan pada mengenal pasti dan menyekat tandatangan perisian hasad yang diketahui. Dengan menggunakan alat yang sah, penjenayah siber boleh memintas mekanisme pengesanan berasaskan tandatangan, menjadikannya lebih sukar bagi sistem keselamatan untuk mengenali dan menghalang aktiviti mereka.
  • Menyalahgunakan Alat Pentadbiran Jauh : Alat pentadbiran jauh, yang penting untuk pengurusan sistem yang sah, boleh disalahgunakan oleh penjenayah siber untuk akses tanpa kebenaran, pergerakan sisi dan penyusutan data.

    • Untuk mengatasi ancaman ini, organisasi perlu melaksanakan garis tindakan keselamatan berbilang lapisan yang merangkumi pemantauan berterusan, pengesanan berasaskan tingkah laku, pendidikan pengguna dan memastikan perisian dan sistem dikemas kini untuk mengurangkan kelemahan yang boleh dieksploitasi oleh penjenayah siber.

    Trending

    Paling banyak dilihat

    Memuatkan...