Multi-License Discount Quote
Bedreigingsdatabase Malware SSH-slangworm

SSH-slangworm

Tegen Mezo in Malware, Worms
Vertalen naar:
Nederlands

Een tool voor het in kaart brengen van netwerken genaamd SSH-Snake, die open source is gemaakt, is door fraudegerelateerde actoren opnieuw gebruikt voor hun aanvalsoperaties. SSH-Snake functioneert als een zelfmodificerende worm en gebruikt SSH-inloggegevens verkregen van een gecompromitteerd systeem om zich over het beoogde netwerk te verspreiden. Deze worm scant autonoom herkende referentieopslagplaatsen en shell-geschiedenisbestanden om de daaropvolgende acties te identificeren.

De SSH-Snake Worm verspreidt zich over de netwerken van slachtoffers

SSH-Snake, begin januari 2024 uitgebracht op GitHub, wordt door de ontwikkelaar gekenmerkt als een krachtige tool die is ontworpen voor geautomatiseerde netwerktraversal door het gebruik van SSH-privésleutels die op verschillende systemen zijn ontdekt.

De tool genereert een gedetailleerde kaart van een netwerk en zijn afhankelijkheden, wat helpt bij de beoordeling van potentiële compromissen via SSH en SSH-privésleutels die afkomstig zijn van een specifieke host. Bovendien heeft SSH-Snake de mogelijkheid om domeinen met meerdere IPv4-adressen op te lossen.

SSH-Snake functioneert als een volledig zelfreplicerende en bestandsloze entiteit en kan worden vergeleken met een worm, die zich autonoom reproduceert en verspreidt over systemen. Dit shellscript vergemakkelijkt niet alleen zijwaartse beweging, maar biedt ook verbeterde stealth en flexibiliteit in vergelijking met conventionele SSH-wormen.

De SSH-Snake Tool is misbruikt bij cybercriminaliteitsoperaties

Onderzoekers hebben gevallen geïdentificeerd waarin bedreigingsactoren SSH-Snake hebben gebruikt bij daadwerkelijke cyberaanvallen om inloggegevens te verzamelen, IP-adressen te targeten en de geschiedenis van bash-commando's uit te voeren. Dit gebeurde na de identificatie van een Command-and-Control (C2)-server die de verkregen gegevens hostte. Bij de aanvallen wordt actief misbruik gemaakt van bekende beveiligingsproblemen in Apache ActiveMQ- en Atlassian Confluence-instanties om initiële toegang tot stand te brengen en SSH-Snake te implementeren.

SSH-Snake maakt gebruik van de aanbevolen praktijk van het gebruik van SSH-sleutels om de verspreiding ervan te vergroten. Deze aanpak, die als intelligenter en betrouwbaarder wordt beschouwd, stelt dreigingsactoren in staat hun bereik binnen een netwerk uit te breiden zodra ze voet aan de grond hebben gekregen.

De ontwikkelaar van SSH-Snake benadrukt dat de tool legitieme systeemeigenaren een manier biedt om zwakheden in hun infrastructuur te identificeren voordat potentiële aanvallers dit proactief doen. Bedrijven worden aangemoedigd om SSH-Snake te gebruiken om bestaande aanvalspaden bloot te leggen en corrigerende maatregelen te nemen om deze aan te pakken.

Cybercriminelen maken vaak misbruik van legitieme software voor hun snode doeleinden

Cybercriminelen misbruiken regelmatig legitieme softwaretools voor hun onveilige activiteiten en vallen operaties aan, om verschillende redenen:

  • Camouflage en stealth : legitieme tools hebben vaak legitieme toepassingen, waardoor het minder waarschijnlijk is dat ze de aandacht trekken van beveiligingsmonitoringsystemen. Cybercriminelen maken gebruik van dit aspect om op te gaan in de normale netwerkactiviteit en detectie te vermijden.
  • Verdenking vermijden : Beveiligingsmaatregelen zijn vaak bedoeld om bekende schadelijke software te identificeren en te blokkeren. Door veelgebruikte en vertrouwde tools te gebruiken, kunnen cybercriminelen onder de radar blijven en de kans verkleinen dat beveiligingswaarschuwingen worden geactiveerd.
  • Ingebouwde functionaliteit : Legitieme tools worden doorgaans geleverd met talloze functionaliteiten die voor onveilige doeleinden kunnen worden misbruikt. Cybercriminelen maken gebruik van deze ingebouwde mogelijkheden om verschillende stadia van een aanval uit te voeren zonder de noodzaak om aanvullende, potentieel detecteerbare malware in te zetten.
  • Living off the Land (LotL)-tactieken : Cybercriminelen gebruiken een tactiek die bekend staat als Living off the Land, waarbij ze bestaande tools en hulpprogramma's op een systeem gebruiken om onveilige activiteiten uit te voeren. Hierbij worden tools zoals PowerShell, Windows Management Instrumentation (WMI) of andere native applicaties gebruikt om te voorkomen dat externe malware moet worden gedownload.
  • Ontduiking van beveiligingsmaatregelen : Beveiligingsoplossingen zijn vaak gericht op het identificeren en blokkeren van bekende malware-signaturen. Door gebruik te maken van legitieme tools kunnen cybercriminelen op handtekeningen gebaseerde detectiemechanismen omzeilen, waardoor het voor beveiligingssystemen moeilijker wordt om hun activiteiten te herkennen en te voorkomen.
  • Misbruik van tools voor extern beheer : tools voor extern beheer, die essentieel zijn voor legitiem systeembeheer, kunnen door cybercriminelen worden misbruikt voor ongeoorloofde toegang, zijdelingse verplaatsing en gegevensexfiltratie.

    • Om deze bedreigingen het hoofd te bieden, moeten organisaties een meergelaagde beveiligingslijn implementeren, waaronder continue monitoring, op gedrag gebaseerde detectie, gebruikerseducatie en het up-to-date houden van software en systemen om kwetsbaarheden te beperken die door cybercriminelen kunnen worden uitgebuit.

    Trending

    Meest bekeken

    Bezig met laden...