Multi-License Discount Quote
Databáza hrozieb Malware SSH-Snake Worm

SSH-Snake Worm

Do roku Mezo v roku Malware, Worms
Preložiť do:
Slovenčina

Nástroj na mapovanie siete s názvom SSH-Snake, ktorý bol vytvorený ako open source, bol znovu použitý aktérmi súvisiacimi s podvodmi pre svoje útočné operácie. SSH-Snake funguje ako samomodifikačný červ, ktorý využíva poverenia SSH získané z napadnutého systému na šírenie v cieľovej sieti. Tento červ autonómne skenuje rozpoznané úložiská poverení a súbory histórie shellu, aby identifikoval svoje následné akcie.

SSH-hadí červ sa šíri cez siete obetí

SSH-Snake, ktorý bol vydaný na GitHub začiatkom januára 2024, charakterizuje jeho vývojár ako účinný nástroj určený na automatizované prechádzanie sieťou pomocou súkromných kľúčov SSH objavených v rôznych systémoch.

Nástroj generuje podrobnú mapu siete a jej závislostí, čo pomáha pri hodnotení potenciálnych kompromisov prostredníctvom súkromných kľúčov SSH a SSH pochádzajúcich od konkrétneho hostiteľa. Okrem toho má SSH-Snake schopnosť riešiť domény s viacerými adresami IPv4.

SSH-Snake, ktorý funguje ako úplne sa replikujúca a bez súborov, možno prirovnať k červovi, ktorý sa autonómne reprodukuje a šíri medzi systémami. Tento skript shellu nielen uľahčuje pohyb do strán, ale ponúka aj vylepšenú tajnosť a flexibilitu v porovnaní s konvenčnými SSH červami.

Nástroj SSH-Snake bol využívaný pri operáciách počítačovej kriminality

Výskumníci identifikovali prípady, keď aktéri hrozieb použili SSH-Snake pri skutočných kybernetických útokoch na zhromažďovanie poverení, cieľových IP adries a histórie príkazov bash. K tomu došlo po identifikácii servera Command-and-Control (C2), ktorý je hostiteľom získaných údajov. Útoky zahŕňajú aktívne využívanie známych bezpečnostných zraniteľností v inštanciách Apache ActiveMQ a Atlassian Confluence na vytvorenie počiatočného prístupu a nasadenie SSH-Snake.

SSH-Snake využíva odporúčaný postup používania kľúčov SSH na zvýšenie šírenia. Tento prístup, ktorý sa považuje za inteligentnejší a spoľahlivejší, umožňuje aktérom hrozieb rozšíriť svoj dosah v rámci siete, keď si vytvoria oporu.

Vývojár SSH-Snake zdôrazňuje, že tento nástroj poskytuje legitímnym vlastníkom systému prostriedky na identifikáciu slabín v ich infraštruktúre skôr, ako to potenciálni útočníci urobia proaktívne. Spoločnosti sa vyzývajú, aby využili SSH-Snake na odhalenie existujúcich ciest útoku a prijali nápravné opatrenia na ich riešenie.

Kyberzločinci často využívajú legitímny softvér na svoje nekalé účely

Kyberzločinci často využívajú legitímne softvérové nástroje na svoje nebezpečné aktivity a útočné operácie z niekoľkých dôvodov:

  • Kamufláž a utajenie : Legitímne nástroje majú často legitímne využitie, takže je menej pravdepodobné, že pritiahnu pozornosť bezpečnostných monitorovacích systémov. Kyberzločinci využívajú tento aspekt, aby zapadli do bežnej sieťovej aktivity a vyhli sa odhaleniu.
  • Predchádzanie podozreniu : Bezpečnostné opatrenia sú často navrhnuté tak, aby identifikovali a blokovali známy škodlivý softvér. Pomocou široko používaných a dôveryhodných nástrojov môžu kyberzločinci lietať pod radarom a znížiť pravdepodobnosť spustenia bezpečnostných upozornení.
  • Vstavaná funkčnosť : Legitímne nástroje sa zvyčajne dodávajú s mnohými funkciami, ktoré možno zneužiť na nebezpečné účely. Kyberzločinci využívajú tieto vstavané schopnosti na vykonanie rôznych štádií útoku bez potreby nasadenia dodatočného, potenciálne detekovateľného malvéru.
  • Taktika Living off the Land (LotL) : Kyberzločinci používajú taktiku známu ako Living off the Land, kde využívajú existujúce nástroje a pomôcky prítomné v systéme na vykonávanie nebezpečných činností. Zahŕňa to použitie nástrojov, ako je PowerShell, Windows Management Instrumentation (WMI) alebo iné natívne aplikácie, aby ste sa vyhli potrebe sťahovania externého škodlivého softvéru.
  • Vyhýbanie sa bezpečnostnej ochrane : Bezpečnostné riešenia sa často zameriavajú na identifikáciu a blokovanie známych podpisov škodlivého softvéru. Používaním legitímnych nástrojov môžu počítačoví zločinci obísť detekčné mechanizmy založené na podpisoch, čo bezpečnostným systémom sťažuje rozpoznanie a zabránenie ich činnosti.
  • Zneužívanie nástrojov vzdialenej správy : Nástroje vzdialenej správy, ktoré sú nevyhnutné pre legitímnu správu systému, môžu kyberzločinci zneužiť na neoprávnený prístup, bočný pohyb a únik údajov.

    • Aby mohli organizácie čeliť týmto hrozbám, musia implementovať viacvrstvovú bezpečnostnú líniu, ktorá zahŕňa nepretržité monitorovanie, detekciu založenú na správaní, vzdelávanie používateľov a aktualizáciu softvéru a systémov, aby sa zmiernili zraniteľnosti, ktoré by mohli zneužiť kyberzločinci.

    Trendy

    Najviac videné

    Načítava...