SSH-Snake Worm
Nástroj na mapovanie siete s názvom SSH-Snake, ktorý bol vytvorený ako open source, bol znovu použitý aktérmi súvisiacimi s podvodmi pre svoje útočné operácie. SSH-Snake funguje ako samomodifikačný červ, ktorý využíva poverenia SSH získané z napadnutého systému na šírenie v cieľovej sieti. Tento červ autonómne skenuje rozpoznané úložiská poverení a súbory histórie shellu, aby identifikoval svoje následné akcie.
Obsah
SSH-hadí červ sa šíri cez siete obetí
SSH-Snake, ktorý bol vydaný na GitHub začiatkom januára 2024, charakterizuje jeho vývojár ako účinný nástroj určený na automatizované prechádzanie sieťou pomocou súkromných kľúčov SSH objavených v rôznych systémoch.
Nástroj generuje podrobnú mapu siete a jej závislostí, čo pomáha pri hodnotení potenciálnych kompromisov prostredníctvom súkromných kľúčov SSH a SSH pochádzajúcich od konkrétneho hostiteľa. Okrem toho má SSH-Snake schopnosť riešiť domény s viacerými adresami IPv4.
SSH-Snake, ktorý funguje ako úplne sa replikujúca a bez súborov, možno prirovnať k červovi, ktorý sa autonómne reprodukuje a šíri medzi systémami. Tento skript shellu nielen uľahčuje pohyb do strán, ale ponúka aj vylepšenú tajnosť a flexibilitu v porovnaní s konvenčnými SSH červami.
Nástroj SSH-Snake bol využívaný pri operáciách počítačovej kriminality
Výskumníci identifikovali prípady, keď aktéri hrozieb použili SSH-Snake pri skutočných kybernetických útokoch na zhromažďovanie poverení, cieľových IP adries a histórie príkazov bash. K tomu došlo po identifikácii servera Command-and-Control (C2), ktorý je hostiteľom získaných údajov. Útoky zahŕňajú aktívne využívanie známych bezpečnostných zraniteľností v inštanciách Apache ActiveMQ a Atlassian Confluence na vytvorenie počiatočného prístupu a nasadenie SSH-Snake.
SSH-Snake využíva odporúčaný postup používania kľúčov SSH na zvýšenie šírenia. Tento prístup, ktorý sa považuje za inteligentnejší a spoľahlivejší, umožňuje aktérom hrozieb rozšíriť svoj dosah v rámci siete, keď si vytvoria oporu.
Vývojár SSH-Snake zdôrazňuje, že tento nástroj poskytuje legitímnym vlastníkom systému prostriedky na identifikáciu slabín v ich infraštruktúre skôr, ako to potenciálni útočníci urobia proaktívne. Spoločnosti sa vyzývajú, aby využili SSH-Snake na odhalenie existujúcich ciest útoku a prijali nápravné opatrenia na ich riešenie.
Kyberzločinci často využívajú legitímny softvér na svoje nekalé účely
Kyberzločinci často využívajú legitímne softvérové nástroje na svoje nebezpečné aktivity a útočné operácie z niekoľkých dôvodov:
Aby mohli organizácie čeliť týmto hrozbám, musia implementovať viacvrstvovú bezpečnostnú líniu, ktorá zahŕňa nepretržité monitorovanie, detekciu založenú na správaní, vzdelávanie používateľov a aktualizáciu softvéru a systémov, aby sa zmiernili zraniteľnosti, ktoré by mohli zneužiť kyberzločinci.