SSH-змеиный червь
Инструмент сетевого картирования под названием SSH-Snake, исходный код которого был сделан с открытым исходным кодом, был перепрофилирован злоумышленниками для своих атак. SSH-Snake действует как самомодифицирующийся червь, использующий учетные данные SSH, полученные из скомпрометированной системы, для распространения по целевой сети. Этот червь автономно сканирует признанные хранилища учетных данных и файлы истории оболочки, чтобы определить свои последующие действия.
Оглавление
Червь SSH-Snake распространяется по сетям жертв
Выпущенный на GitHub в начале января 2024 года, SSH-Snake характеризуется разработчиком как мощный инструмент, предназначенный для автоматического обхода сети за счет использования закрытых ключей SSH, обнаруженных в различных системах.
Инструмент создает подробную карту сети и ее зависимостей, помогая оценить потенциальные угрозы через SSH и закрытые ключи SSH, исходящие от конкретного хоста. Кроме того, SSH-Snake имеет возможность разрешать домены с несколькими адресами IPv4.
Функционируя как полностью самовоспроизводящаяся и бесфайловая сущность, SSH-Snake можно сравнить с червем, автономно воспроизводящимся и распространяющимся по системам. Этот сценарий оболочки не только облегчает боковое перемещение, но также обеспечивает повышенную скрытность и гибкость по сравнению с обычными червями SSH.
Инструмент SSH-Snake использовался в операциях по борьбе с киберпреступностью
Исследователи выявили случаи, когда злоумышленники использовали SSH-Snake в реальных кибератаках для сбора учетных данных, целевых IP-адресов и истории команд bash. Это произошло после идентификации сервера управления (C2), на котором размещены полученные данные. Атаки включают активное использование известных уязвимостей безопасности в экземплярах Apache ActiveMQ и Atlassian Confluence для установления первоначального доступа и развертывания SSH-Snake.
SSH-Snake использует рекомендуемую практику использования ключей SSH для увеличения своего распространения. Этот подход, считающийся более разумным и надежным, позволяет злоумышленникам расширить свое влияние внутри сети, как только они закрепятся.
Разработчик SSH-Snake подчеркивает, что этот инструмент предоставляет законным владельцам систем возможность выявлять слабые места в их инфраструктуре до того, как это сделают потенциальные злоумышленники. Компаниям рекомендуется использовать SSH-Snake для выявления существующих путей атак и принятия корректирующих мер для их устранения.
Киберпреступники часто используют легальное программное обеспечение в своих гнусных целях
Киберпреступники часто используют законные программные инструменты для своих небезопасных действий и атак по нескольким причинам:
Чтобы противостоять этим угрозам, организациям необходимо внедрить многоуровневую линию безопасности, которая включает непрерывный мониторинг, обнаружение на основе поведения, обучение пользователей и постоянное обновление программного обеспечения и систем для устранения уязвимостей, которыми могут воспользоваться киберпреступники.