SSH-หนอนงู

เครื่องมือสร้างแผนที่เครือข่ายชื่อ SSH-Snake ซึ่งถูกสร้างเป็นโอเพ่นซอร์ส ถูกนำมาใช้ใหม่โดยผู้ที่เกี่ยวข้องกับการฉ้อโกงสำหรับการโจมตี SSH-Snake ทำหน้าที่เป็นเวิร์มที่ปรับเปลี่ยนตัวเอง โดยใช้ข้อมูลประจำตัว SSH ที่ได้รับจากระบบที่ถูกบุกรุกเพื่อเผยแพร่ผ่านเครือข่ายเป้าหมาย เวิร์มนี้จะสแกนที่เก็บข้อมูลรับรองที่ได้รับการยอมรับและไฟล์ประวัติเชลล์โดยอัตโนมัติเพื่อระบุการดำเนินการที่ตามมา

หนอน SSH-Snake แพร่กระจายไปทั่วเครือข่ายของเหยื่อ

SSH-Snake เปิดตัวบน GitHub เมื่อต้นเดือนมกราคม 2024 โดยมีลักษณะเด่นจากผู้พัฒนาว่าเป็นเครื่องมือที่มีศักยภาพซึ่งออกแบบมาเพื่อการข้ามผ่านเครือข่ายอัตโนมัติผ่านการใช้คีย์ส่วนตัว SSH ที่ค้นพบบนระบบต่างๆ

เครื่องมือนี้สร้างแผนที่โดยละเอียดของเครือข่ายและการขึ้นต่อกันของเครือข่าย ซึ่งช่วยในการประเมินการบุกรุกที่อาจเกิดขึ้นผ่านคีย์ส่วนตัว SSH และ SSH ที่มาจากโฮสต์เฉพาะ นอกจากนี้ SSH-Snake ยังมีความสามารถในการแก้ไขโดเมนที่มีที่อยู่ IPv4 หลายรายการ

SSH-Snake ทำหน้าที่เป็นเอนทิตีที่จำลองตัวเองได้อย่างสมบูรณ์และไม่มีไฟล์ โดยสามารถเปรียบเสมือนเวิร์ม โดยสามารถทำซ้ำและแพร่กระจายข้ามระบบได้โดยอัตโนมัติ เชลล์สคริปต์นี้ไม่เพียงแต่อำนวยความสะดวกในการเคลื่อนไหวด้านข้างเท่านั้น แต่ยังเพิ่มการซ่อนตัวและความยืดหยุ่นเมื่อเปรียบเทียบกับเวิร์ม SSH ทั่วไป

เครื่องมือ SSH-Snake ถูกนำไปใช้ประโยชน์ในการปฏิบัติการอาชญากรรมทางไซเบอร์

นักวิจัยได้ระบุกรณีที่ผู้คุกคามใช้ SSH-Snake ในการโจมตีทางไซเบอร์จริงเพื่อรวบรวมข้อมูลประจำตัว ที่อยู่ IP เป้าหมาย และประวัติคำสั่งทุบตี สิ่งนี้เกิดขึ้นภายหลังการระบุเซิร์ฟเวอร์ Command-and-Control (C2) ที่โฮสต์ข้อมูลที่ได้มา การโจมตีดังกล่าวเกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่รู้จักในอินสแตนซ์ Apache ActiveMQ และ Atlassian Confluence เพื่อสร้างการเข้าถึงเบื้องต้นและปรับใช้ SSH-Snake

SSH-Snake ใช้ประโยชน์จากแนวทางปฏิบัติที่แนะนำในการใช้คีย์ SSH เพื่อปรับปรุงการแพร่กระจาย แนวทางนี้ถือว่าชาญฉลาดและเชื่อถือได้มากกว่า ช่วยให้ผู้คุกคามสามารถขยายขอบเขตการเข้าถึงภายในเครือข่ายได้เมื่อพวกเขาตั้งหลักได้แล้ว

ผู้พัฒนา SSH-Snake เน้นย้ำว่าเครื่องมือนี้ช่วยให้เจ้าของระบบที่ถูกต้องตามกฎหมายสามารถระบุจุดอ่อนในโครงสร้างพื้นฐานของตนก่อนที่ผู้โจมตีจะทำเชิงรุก บริษัทต่างๆ ได้รับการสนับสนุนให้ใช้ประโยชน์จาก SSH-Snake เพื่อเปิดเผยเส้นทางการโจมตีที่มีอยู่ และใช้มาตรการแก้ไขเพื่อจัดการกับเส้นทางเหล่านั้น

อาชญากรไซเบอร์มักจะใช้ประโยชน์จากซอฟต์แวร์ที่ถูกกฎหมายเพื่อจุดประสงค์อันชั่วร้าย

อาชญากรไซเบอร์มักใช้ประโยชน์จากเครื่องมือซอฟต์แวร์ที่ถูกกฎหมายสำหรับกิจกรรมที่ไม่ปลอดภัยและการโจมตีเนื่องมาจากสาเหตุหลายประการ:

เพื่อตอบโต้ภัยคุกคามเหล่านี้ องค์กรต่างๆ จำเป็นต้องใช้แนวปฏิบัติด้านความปลอดภัยแบบหลายชั้น ซึ่งรวมถึงการตรวจสอบอย่างต่อเนื่อง การตรวจจับตามพฤติกรรม การให้ความรู้แก่ผู้ใช้ และการอัปเดตซอฟต์แวร์และระบบเพื่อลดช่องโหว่ที่อาชญากรไซเบอร์อาจนำไปใช้ประโยชน์ได้