Multi-License Discount Quote
Baza danych zagrożeń Malware Robak SSH-Snake

Robak SSH-Snake

Do Mezo w Malware, Worms
Przetłumacz na:
Polski

Narzędzie do mapowania sieci o nazwie SSH-Snake, które udostępniono jako oprogramowanie typu open source, zostało wykorzystane przez podmioty powiązane z oszustwami do przeprowadzanych przez nie ataków. SSH-Snake działa jak samomodyfikujący się robak, wykorzystujący dane uwierzytelniające SSH uzyskane z zaatakowanego systemu do rozprzestrzeniania się w docelowej sieci. Robak ten autonomicznie skanuje rozpoznane repozytoria danych uwierzytelniających i pliki historii powłoki, aby zidentyfikować swoje kolejne działania.

Robak SSH-Snake rozprzestrzenia się w sieciach ofiar

Wydany na GitHub na początku stycznia 2024 r. program SSH-Snake charakteryzuje się przez swojego twórcę potężnym narzędziem przeznaczonym do automatycznego poruszania się po sieci za pomocą kluczy prywatnych SSH wykrytych w różnych systemach.

Narzędzie generuje szczegółową mapę sieci i jej zależności, pomagając w ocenie potencjalnych kompromisów poprzez SSH i klucze prywatne SSH pochodzące od konkretnego hosta. Dodatkowo SSH-Snake ma możliwość rozpoznawania domen z wieloma adresami IPv4.

Funkcjonując jako całkowicie samoreplikująca się i pozbawiona plików jednostka, SSH-Snake można porównać do robaka autonomicznie rozmnażającego się i rozprzestrzeniającego w systemach. Ten skrypt powłoki nie tylko ułatwia ruch boczny, ale także oferuje lepszą dyskrecję i elastyczność w porównaniu z konwencjonalnymi robakami SSH.

Narzędzie SSH-Snake zostało wykorzystane w operacjach cyberprzestępczych

Badacze zidentyfikowali przypadki, w których ugrupowania zagrażające wykorzystały SSH-Snake w rzeczywistych cyberatakach w celu zebrania danych uwierzytelniających, docelowych adresów IP i historii poleceń bash. Nastąpiło to po zidentyfikowaniu serwera dowodzenia i kontroli (C2), na którym znajdują się pozyskane dane. Ataki polegają na aktywnym wykorzystaniu znanych luk w zabezpieczeniach instancji Apache ActiveMQ i Atlassian Confluence w celu uzyskania wstępnego dostępu i wdrożenia protokołu SSH-Snake.

SSH-Snake wykorzystuje zalecaną praktykę używania kluczy SSH w celu zwiększenia jego rozprzestrzeniania się. Podejście to, uważane za bardziej inteligentne i niezawodne, umożliwia cyberprzestępcom rozszerzenie zasięgu w sieci po zajęciu miejsca.

Twórca SSH-Snake podkreśla, że narzędzie to zapewnia legalnym właścicielom systemów możliwość identyfikowania słabych punktów w ich infrastrukturze, zanim zrobią to proaktywnie potencjalni atakujący. Zachęcamy firmy do korzystania z protokołu SSH-Snake w celu wykrywania istniejących ścieżek ataków i podejmowania działań naprawczych w celu ich wyeliminowania.

Cyberprzestępcy często wykorzystują legalne oprogramowanie do swoich niegodziwych celów

Cyberprzestępcy często wykorzystują legalne narzędzia programowe do swoich niebezpiecznych działań i ataków z kilku powodów:

  • Kamuflaż i ukrywanie się : legalne narzędzia często mają legalne zastosowania, co zmniejsza prawdopodobieństwo, że przyciągną uwagę systemów monitorowania bezpieczeństwa. Cyberprzestępcy wykorzystują ten aspekt, aby wtopić się w normalną aktywność sieciową i uniknąć wykrycia.
  • Unikanie podejrzeń : Środki bezpieczeństwa często mają na celu identyfikację i blokowanie znanego złośliwego oprogramowania. Korzystając z powszechnie używanych i zaufanych narzędzi, cyberprzestępcy mogą ukrywać się przed radarem i zmniejszać prawdopodobieństwo wywołania alertów bezpieczeństwa.
  • Wbudowana funkcjonalność : legalne narzędzia zazwyczaj mają wiele funkcji, które można wykorzystać do niebezpiecznych celów. Cyberprzestępcy wykorzystują te wbudowane możliwości do przeprowadzania różnych etapów ataku bez konieczności wdrażania dodatkowego, potencjalnie wykrywalnego złośliwego oprogramowania.
  • Taktyka Living off the Land (LotL) : Cyberprzestępcy stosują taktykę znaną jako Living off the Land, która polega na tym, że wykorzystują istniejące narzędzia i narzędzia obecne w systemie do przeprowadzania niebezpiecznych działań. Wiąże się to z użyciem narzędzi takich jak PowerShell, Instrumentacja zarządzania Windows (WMI) lub innych aplikacji natywnych, aby uniknąć konieczności pobierania zewnętrznego złośliwego oprogramowania.
  • Unikanie zabezpieczeń : rozwiązania zabezpieczające często skupiają się na identyfikowaniu i blokowaniu znanych sygnatur złośliwego oprogramowania. Korzystając z legalnych narzędzi, cyberprzestępcy mogą ominąć mechanizmy wykrywania oparte na sygnaturach, utrudniając systemom bezpieczeństwa rozpoznawanie ich działań i zapobieganie im.
  • Nadużywanie narzędzi administracji zdalnej : Narzędzia administracji zdalnej, które są niezbędne do legalnego zarządzania systemem, mogą zostać wykorzystane przez cyberprzestępców do nieautoryzowanego dostępu, bocznego ruchu i eksfiltracji danych.

    • Aby przeciwdziałać tym zagrożeniom, organizacje muszą wdrożyć wielowarstwowy sposób działania w zakresie bezpieczeństwa, który obejmuje ciągłe monitorowanie, wykrywanie na podstawie zachowań, edukację użytkowników oraz aktualizowanie oprogramowania i systemów w celu ograniczenia luk w zabezpieczeniach, które mogą zostać wykorzystane przez cyberprzestępców.

    Popularne

    Najczęściej oglądane

    Ładowanie...