Robak SSH-Snake
Narzędzie do mapowania sieci o nazwie SSH-Snake, które udostępniono jako oprogramowanie typu open source, zostało wykorzystane przez podmioty powiązane z oszustwami do przeprowadzanych przez nie ataków. SSH-Snake działa jak samomodyfikujący się robak, wykorzystujący dane uwierzytelniające SSH uzyskane z zaatakowanego systemu do rozprzestrzeniania się w docelowej sieci. Robak ten autonomicznie skanuje rozpoznane repozytoria danych uwierzytelniających i pliki historii powłoki, aby zidentyfikować swoje kolejne działania.
Spis treści
Robak SSH-Snake rozprzestrzenia się w sieciach ofiar
Wydany na GitHub na początku stycznia 2024 r. program SSH-Snake charakteryzuje się przez swojego twórcę potężnym narzędziem przeznaczonym do automatycznego poruszania się po sieci za pomocą kluczy prywatnych SSH wykrytych w różnych systemach.
Narzędzie generuje szczegółową mapę sieci i jej zależności, pomagając w ocenie potencjalnych kompromisów poprzez SSH i klucze prywatne SSH pochodzące od konkretnego hosta. Dodatkowo SSH-Snake ma możliwość rozpoznawania domen z wieloma adresami IPv4.
Funkcjonując jako całkowicie samoreplikująca się i pozbawiona plików jednostka, SSH-Snake można porównać do robaka autonomicznie rozmnażającego się i rozprzestrzeniającego w systemach. Ten skrypt powłoki nie tylko ułatwia ruch boczny, ale także oferuje lepszą dyskrecję i elastyczność w porównaniu z konwencjonalnymi robakami SSH.
Narzędzie SSH-Snake zostało wykorzystane w operacjach cyberprzestępczych
Badacze zidentyfikowali przypadki, w których ugrupowania zagrażające wykorzystały SSH-Snake w rzeczywistych cyberatakach w celu zebrania danych uwierzytelniających, docelowych adresów IP i historii poleceń bash. Nastąpiło to po zidentyfikowaniu serwera dowodzenia i kontroli (C2), na którym znajdują się pozyskane dane. Ataki polegają na aktywnym wykorzystaniu znanych luk w zabezpieczeniach instancji Apache ActiveMQ i Atlassian Confluence w celu uzyskania wstępnego dostępu i wdrożenia protokołu SSH-Snake.
SSH-Snake wykorzystuje zalecaną praktykę używania kluczy SSH w celu zwiększenia jego rozprzestrzeniania się. Podejście to, uważane za bardziej inteligentne i niezawodne, umożliwia cyberprzestępcom rozszerzenie zasięgu w sieci po zajęciu miejsca.
Twórca SSH-Snake podkreśla, że narzędzie to zapewnia legalnym właścicielom systemów możliwość identyfikowania słabych punktów w ich infrastrukturze, zanim zrobią to proaktywnie potencjalni atakujący. Zachęcamy firmy do korzystania z protokołu SSH-Snake w celu wykrywania istniejących ścieżek ataków i podejmowania działań naprawczych w celu ich wyeliminowania.
Cyberprzestępcy często wykorzystują legalne oprogramowanie do swoich niegodziwych celów
Cyberprzestępcy często wykorzystują legalne narzędzia programowe do swoich niebezpiecznych działań i ataków z kilku powodów:
Aby przeciwdziałać tym zagrożeniom, organizacje muszą wdrożyć wielowarstwowy sposób działania w zakresie bezpieczeństwa, który obejmuje ciągłe monitorowanie, wykrywanie na podstawie zachowań, edukację użytkowników oraz aktualizowanie oprogramowania i systemów w celu ograniczenia luk w zabezpieczeniach, które mogą zostać wykorzystane przez cyberprzestępców.