Multi-License Discount Quote
Baza de date pentru amenințări Malware SSH-Vierme șarpe

SSH-Vierme șarpe

Până în Mezo în Malware, Worms
Tradu in:
Română

Un instrument de cartografiere a rețelei numit SSH-Snake, care a fost făcut open source, a fost reutilizat de actori legați de fraudă pentru operațiunile lor de atac. SSH-Snake funcționează ca un vierme cu auto-modificare, utilizând acreditările SSH obținute dintr-un sistem compromis pentru a se propaga în rețeaua vizată. Acest vierme scanează în mod autonom depozitele de acreditări recunoscute și fișierele istorice de shell pentru a identifica acțiunile ulterioare.

Viermele SSH-Șarpe se răspândește prin rețelele victimelor

Lansat pe GitHub la începutul lunii ianuarie 2024, SSH-Snake este caracterizat de dezvoltatorul său ca un instrument puternic conceput pentru traversarea automată a rețelei prin utilizarea cheilor private SSH descoperite pe diferite sisteme.

Instrumentul generează o hartă detaliată a unei rețele și a dependențelor acesteia, ajutând la evaluarea potențialelor compromisuri prin cheile private SSH și SSH care provin de la o anumită gazdă. În plus, SSH-Snake are capacitatea de a rezolva domenii cu mai multe adrese IPv4.

Funcționând ca o entitate complet autoreplicabilă și fără fișiere, SSH-Snake poate fi asemănat cu un vierme, reproducându-se și răspândindu-se în mod autonom peste sisteme. Acest script shell nu numai că facilitează mișcarea laterală, dar oferă, de asemenea, furtivitate și flexibilitate îmbunătățite în comparație cu viermii SSH convenționali.

Instrumentul SSH-Snake a fost exploatat în operațiuni de criminalitate cibernetică

Cercetătorii au identificat cazuri în care actorii amenințărilor au folosit SSH-Snake în atacuri cibernetice reale pentru a colecta acreditări, adrese IP vizate și istoricul comenzilor bash. Acest lucru a avut loc după identificarea unui server de comandă și control (C2) care găzduiește datele achiziționate. Atacurile implică exploatarea activă a vulnerabilităților de securitate cunoscute în instanțe Apache ActiveMQ și Atlassian Confluence pentru a stabili accesul inițial și a implementa SSH-Snake.

SSH-Snake exploatează practica recomandată de utilizare a cheilor SSH pentru a-și îmbunătăți răspândirea. Această abordare, considerată mai inteligentă și mai fiabilă, permite actorilor amenințărilor să-și extindă raza de acțiune în cadrul unei rețele odată ce își stabilesc un punct de sprijin.

Dezvoltatorul SSH-Snake subliniază că instrumentul oferă proprietarilor legitimi de sistem un mijloc de a identifica punctele slabe ale infrastructurii lor înainte ca potențialii atacatori să o facă în mod proactiv. Companiile sunt încurajate să folosească SSH-Snake pentru a descoperi căile de atac existente și pentru a lua măsuri corective pentru a le rezolva.

Infractorii cibernetici profită adesea de software-ul legitim în scopurile lor nefaste

Infractorii cibernetici exploatează frecvent instrumentele software legitime pentru activitățile lor nesigure și operațiunile de atac din mai multe motive:

  • Camuflaj și stealth : instrumentele legitime au adesea utilizări legitime, ceea ce le face mai puțin probabil să atragă atenția din partea sistemelor de monitorizare a securității. Criminalii cibernetici folosesc acest aspect pentru a se integra cu activitatea normală a rețelei și pentru a evita detectarea.
  • Evitarea suspiciunii : Măsurile de securitate sunt adesea concepute pentru a identifica și bloca software-ul rău intenționat cunoscut. Folosind instrumente utilizate pe scară largă și de încredere, infractorii cibernetici pot trece sub radar și pot reduce probabilitatea declanșării alertelor de securitate.
  • Funcționalitate încorporată : instrumentele legitime vin de obicei cu numeroase funcționalități care pot fi exploatate în scopuri nesigure. Criminalii cibernetici folosesc aceste capacități încorporate pentru a executa diferite etape ale unui atac fără a fi nevoie să implementeze programe malware suplimentare, potențial detectabile.
  • Tactici de viață din pământ (LotL) : infractorii cibernetici folosesc o tactică cunoscută sub denumirea de a trăi pe pământ, în care folosesc instrumentele și utilitățile existente pe un sistem pentru a desfășura activități nesigure. Aceasta implică utilizarea unor instrumente precum PowerShell, Windows Management Instrumentation (WMI) sau alte aplicații native pentru a evita nevoia de descărcare a programelor malware externe.
  • Evadarea apărărilor de securitate : soluțiile de securitate se concentrează adesea pe identificarea și blocarea semnăturilor malware cunoscute. Folosind instrumente legitime, infractorii cibernetici pot ocoli mecanismele de detectare bazate pe semnături, îngreunând sistemele de securitate să-și recunoască și să-și prevină activitățile.
  • Abuzarea instrumentelor de administrare la distanță : instrumentele de administrare la distanță, care sunt esențiale pentru gestionarea legitimă a sistemului, pot fi abuzate de infractorii cibernetici pentru acces neautorizat, mișcare laterală și exfiltrare de date.

    • Pentru a contracara aceste amenințări, organizațiile trebuie să implementeze o linie de acțiune de securitate pe mai multe straturi, care să includă monitorizare continuă, detectarea bazată pe comportament, educarea utilizatorilor și menținerea actualizate a software-ului și a sistemelor pentru a atenua vulnerabilitățile care ar putea fi exploatate de infractorii cibernetici.

    Trending

    Cele mai văzute

    Se încarcă...