Multi-License Discount Quote
База данных угроз Malware SSH-змеиный червь

SSH-змеиный червь

К Mezo году в Malware, Worms году
Перевести на:
Русский

Инструмент сетевого картирования под названием SSH-Snake, исходный код которого был сделан с открытым исходным кодом, был перепрофилирован злоумышленниками для своих атак. SSH-Snake действует как самомодифицирующийся червь, использующий учетные данные SSH, полученные из скомпрометированной системы, для распространения по целевой сети. Этот червь автономно сканирует признанные хранилища учетных данных и файлы истории оболочки, чтобы определить свои последующие действия.

Червь SSH-Snake распространяется по сетям жертв

Выпущенный на GitHub в начале января 2024 года, SSH-Snake характеризуется разработчиком как мощный инструмент, предназначенный для автоматического обхода сети за счет использования закрытых ключей SSH, обнаруженных в различных системах.

Инструмент создает подробную карту сети и ее зависимостей, помогая оценить потенциальные угрозы через SSH и закрытые ключи SSH, исходящие от конкретного хоста. Кроме того, SSH-Snake имеет возможность разрешать домены с несколькими адресами IPv4.

Функционируя как полностью самовоспроизводящаяся и бесфайловая сущность, SSH-Snake можно сравнить с червем, автономно воспроизводящимся и распространяющимся по системам. Этот сценарий оболочки не только облегчает боковое перемещение, но также обеспечивает повышенную скрытность и гибкость по сравнению с обычными червями SSH.

Инструмент SSH-Snake использовался в операциях по борьбе с киберпреступностью

Исследователи выявили случаи, когда злоумышленники использовали SSH-Snake в реальных кибератаках для сбора учетных данных, целевых IP-адресов и истории команд bash. Это произошло после идентификации сервера управления (C2), на котором размещены полученные данные. Атаки включают активное использование известных уязвимостей безопасности в экземплярах Apache ActiveMQ и Atlassian Confluence для установления первоначального доступа и развертывания SSH-Snake.

SSH-Snake использует рекомендуемую практику использования ключей SSH для увеличения своего распространения. Этот подход, считающийся более разумным и надежным, позволяет злоумышленникам расширить свое влияние внутри сети, как только они закрепятся.

Разработчик SSH-Snake подчеркивает, что этот инструмент предоставляет законным владельцам систем возможность выявлять слабые места в их инфраструктуре до того, как это сделают потенциальные злоумышленники. Компаниям рекомендуется использовать SSH-Snake для выявления существующих путей атак и принятия корректирующих мер для их устранения.

Киберпреступники часто используют легальное программное обеспечение в своих гнусных целях

Киберпреступники часто используют законные программные инструменты для своих небезопасных действий и атак по нескольким причинам:

  • Камуфляж и скрытность . Законные инструменты часто имеют законное применение, что снижает вероятность привлечения внимания систем мониторинга безопасности. Киберпреступники используют этот аспект, чтобы слиться с обычной сетевой деятельностью и избежать обнаружения.
  • Как избежать подозрений . Меры безопасности часто предназначены для выявления и блокировки известного вредоносного программного обеспечения. Используя широко используемые и надежные инструменты, киберпреступники могут оставаться незамеченными и снижать вероятность срабатывания предупреждений безопасности.
  • Встроенная функциональность . Легальные инструменты обычно имеют множество функций, которые можно использовать в небезопасных целях. Киберпреступники используют эти встроенные возможности для выполнения различных этапов атаки без необходимости развертывания дополнительных, потенциально обнаруживаемых вредоносных программ.
  • Тактика «Жизнь за счет земли» (LotL) : Киберпреступники используют тактику, известную как «Жизнь за счет земли», при которой они используют существующие инструменты и утилиты, имеющиеся в системе, для выполнения небезопасных действий. Это предполагает использование таких инструментов, как PowerShell, инструментария управления Windows (WMI) или других собственных приложений, чтобы избежать необходимости загрузки внешнего вредоносного ПО.
  • Уклонение от средств защиты . Решения по обеспечению безопасности часто направлены на выявление и блокирование известных сигнатур вредоносного ПО. Используя законные инструменты, киберпреступники могут обходить механизмы обнаружения на основе сигнатур, что усложняет системам безопасности распознавание и предотвращение их действий.
  • Злоупотребление инструментами удаленного администрирования . Киберпреступники могут злоупотреблять инструментами удаленного администрирования, которые необходимы для законного управления системой, для несанкционированного доступа, горизонтального перемещения и кражи данных.

    • Чтобы противостоять этим угрозам, организациям необходимо внедрить многоуровневую линию безопасности, которая включает непрерывный мониторинг, обнаружение на основе поведения, обучение пользователей и постоянное обновление программного обеспечения и систем для устранения уязвимостей, которыми могут воспользоваться киберпреступники.

    В тренде

    Прозрачная игровая трубка

    Потенциально нежелательные программы, Adware, Browser Hijackers
    Исследователи кибербезопасности выявили вредоносный установщик в ходе расследования сомнительных веб-сайтов, предоставляющих поддельное программное обеспечение для взлома и связанный с ним контент....

    Наиболее просматриваемые

    Загрузка...