Multi-License Discount Quote
Trusseldatabase Malware SSH-Slangeorm

SSH-Slangeorm

Med Mezo i Malware, Worms
Oversett til:
Norsk

Et nettverkskartverktøy kalt SSH-Snake, som ble gjort åpen kildekode, har blitt gjenbrukt av svindelrelaterte aktører for deres angrepsoperasjoner. SSH-Snake fungerer som en selvmodifiserende orm, og bruker SSH-legitimasjon hentet fra et kompromittert system for å spre seg over det målrettede nettverket. Denne ormen skanner autonomt gjenkjente legitimasjonslager og skallhistorikkfiler for å identifisere dens påfølgende handlinger.

SSH-slangeormen sprer seg over ofrenes nettverk

Utgitt på GitHub i begynnelsen av januar 2024, er SSH-Snake karakterisert av sin utvikler som et potent verktøy designet for automatisert nettverksgjennomgang gjennom bruk av SSH private nøkler oppdaget på forskjellige systemer.

Verktøyet genererer et detaljert kart over et nettverk og dets avhengigheter, og hjelper til med å vurdere potensielle kompromisser gjennom SSH og SSH private nøkler som kommer fra en spesifikk vert. I tillegg har SSH-Snake muligheten til å løse domener med flere IPv4-adresser.

SSH-Snake fungerer som en fullstendig selvreplikerende og filløs enhet, og kan sammenlignes med en orm som autonomt reproduserer og sprer seg på tvers av systemer. Dette skallskriptet letter ikke bare sideveis bevegelse, men tilbyr også forbedret stealth og fleksibilitet sammenlignet med konvensjonelle SSH-ormer.

SSH-Snake-verktøyet har blitt utnyttet i nettkriminalitetsoperasjoner

Forskere har identifisert tilfeller der trusselaktører har brukt SSH-Snake i faktiske cyberangrep for å samle inn legitimasjon, målrette IP-adresser og bash-kommandohistorie. Dette skjedde etter identifiseringen av en Command-and-Control-server (C2) som var vert for de innhentede dataene. Angrepene involverer aktiv utnyttelse av kjente sikkerhetssårbarheter i Apache ActiveMQ og Atlassian Confluence-forekomster for å etablere innledende tilgang og distribuere SSH-Snake.

SSH-Snake utnytter den anbefalte praksisen med å bruke SSH-nøkler for å øke spredningen. Denne tilnærmingen, som anses som mer intelligent og pålitelig, gjør det mulig for trusselaktører å utvide sin rekkevidde innenfor et nettverk når de først har etablert fotfeste.

Utvikleren av SSH-Snake understreker at verktøyet gir legitime systemeiere et middel til å identifisere svakheter i deres infrastruktur før potensielle angripere gjør det proaktivt. Bedrifter oppfordres til å utnytte SSH-Snake for å avdekke eksisterende angrepsveier og ta korrigerende tiltak for å håndtere dem.

Nettkriminelle drar ofte nytte av legitim programvare for sine ondsinnede formål

Cyberkriminelle utnytter ofte legitime programvareverktøy for sine utrygge aktiviteter og angrepsoperasjoner på grunn av flere årsaker:

  • Kamuflasje og stealth : Legitime verktøy har ofte legitime bruksområder, noe som gjør det mindre sannsynlig at de tiltrekker seg oppmerksomhet fra sikkerhetsovervåkingssystemer. Nettkriminelle utnytter dette aspektet for å blande seg med normal nettverksaktivitet og unngå oppdagelse.
  • Unngå mistanke : Sikkerhetstiltak er ofte utformet for å identifisere og blokkere kjent skadelig programvare. Ved å bruke mye brukte og pålitelige verktøy kan nettkriminelle fly under radaren og redusere sannsynligheten for å utløse sikkerhetsvarsler.
  • Innebygd funksjonalitet : Legitime verktøy kommer vanligvis med en rekke funksjoner som kan utnyttes til utrygge formål. Nettkriminelle utnytter disse innebygde egenskapene til å utføre ulike stadier av et angrep uten behov for å distribuere ytterligere, potensielt påvisbar, skadelig programvare.
  • Living off the Land (LotL) Taktikk : Nettkriminelle bruker en taktikk kjent som Living off the Land, der de bruker eksisterende verktøy og verktøy som finnes på et system for å utføre utrygge aktiviteter. Dette innebærer å bruke verktøy som PowerShell, Windows Management Instrumentation (WMI) eller andre native applikasjoner for å unngå behovet for å laste ned ekstern skadelig programvare.
  • Unngåelse av sikkerhetsforsvar : Sikkerhetsløsninger fokuserer ofte på å identifisere og blokkere kjente skadevaresignaturer. Ved å bruke legitime verktøy kan nettkriminelle omgå signaturbaserte deteksjonsmekanismer, noe som gjør det vanskeligere for sikkerhetssystemer å gjenkjenne og forhindre deres aktiviteter.
  • Misbruk av fjernadministrasjonsverktøy : Fjernadministrasjonsverktøy, som er avgjørende for legitim systemadministrasjon, kan misbrukes av nettkriminelle for uautorisert tilgang, sideveis bevegelse og dataeksfiltrering.

    • For å motvirke disse truslene, må organisasjoner implementere en flerlags sikkerhetslinje som inkluderer kontinuerlig overvåking, atferdsbasert deteksjon, brukeropplæring og å holde programvare og systemer oppdatert for å redusere sårbarheter som kan utnyttes av nettkriminelle.

    Trender

    Mest sett

    Laster inn...