Multi-License Discount Quote
Tehdit Veritabanı Malware SSH-Yılan Solucanı

SSH-Yılan Solucanı

Mezo'de Malware, Worms'de
Çevir:
Türkçe

Açık kaynak haline getirilen SSH-Snake adlı ağ haritalama aracı, dolandırıcılıkla ilgili aktörler tarafından saldırı operasyonlarında yeniden tasarlandı. SSH-Snake, hedeflenen ağ boyunca yayılmak için tehlikeye atılmış bir sistemden elde edilen SSH kimlik bilgilerini kullanan, kendi kendini değiştiren bir solucan olarak işlev görür. Bu solucan, sonraki eylemlerini belirlemek için tanınan kimlik bilgisi depolarını ve kabuk geçmişi dosyalarını bağımsız olarak tarar.

SSH-Yılan Solucanı Kurbanların Ağlarına Yayılıyor

Ocak 2024'ün başlarında GitHub'da piyasaya sürülen SSH-Snake, geliştiricisi tarafından çeşitli sistemlerde keşfedilen SSH özel anahtarlarının kullanımı yoluyla otomatik ağ geçişi için tasarlanmış güçlü bir araç olarak tanımlanıyor.

Araç, bir ağın ve bağımlılıklarının ayrıntılı bir haritasını oluşturarak, belirli bir ana bilgisayardan kaynaklanan SSH ve SSH özel anahtarları aracılığıyla potansiyel güvenlik ihlallerinin değerlendirilmesine yardımcı olur. Ek olarak SSH-Snake, birden fazla IPv4 adresine sahip etki alanlarını çözümleme yeteneğine sahiptir.

Tamamen kendi kendini kopyalayan ve dosyasız bir varlık olarak çalışan SSH-Snake, otonom olarak çoğalan ve sistemler arasında yayılan bir solucana benzetilebilir. Bu kabuk komut dosyası yalnızca yanal hareketi kolaylaştırmakla kalmaz, aynı zamanda geleneksel SSH solucanlarına kıyasla gelişmiş gizlilik ve esneklik sunar.

SSH-Snake Aracı Siber Suç Operasyonlarında Kullanılıyor

Araştırmacılar, tehdit aktörlerinin kimlik bilgilerini, hedef IP adreslerini ve bash komut geçmişini toplamak için gerçek siber saldırılarda SSH-Snake'i kullandığı örnekleri belirledi. Bu, elde edilen verileri barındıran Komuta ve Kontrol (C2) sunucusunun tanımlanmasının ardından meydana geldi. Saldırılar, ilk erişimi sağlamak ve SSH-Snake'i dağıtmak için Apache ActiveMQ ve Atlassian Confluence örneklerindeki bilinen güvenlik açıklarının aktif olarak kullanılmasını içeriyor.

SSH-Snake, yayılmasını artırmak için SSH anahtarlarının kullanılmasına ilişkin önerilen uygulamadan yararlanır. Daha akıllı ve güvenilir kabul edilen bu yaklaşım, tehdit aktörlerinin bir dayanak noktası oluşturduktan sonra ağ içindeki erişim alanlarını genişletmesine olanak tanıyor.

SSH-Snake'in geliştiricisi, aracın yasal sistem sahiplerine, potansiyel saldırganlardan önce altyapılarındaki zayıflıkları proaktif olarak tespit etmelerine olanak sağladığını vurguluyor. Şirketlerin mevcut saldırı yollarını ortaya çıkarmak ve bunlara yönelik düzeltici önlemler almak için SSH-Snake'ten yararlanmaları teşvik ediliyor.

Siber Suçlular Çoğunlukla Kötü Amaçları İçin Meşru Yazılımlardan Yararlanıyor

Siber suçlular, çeşitli nedenlerle güvenli olmayan faaliyetleri ve saldırı operasyonları için sıklıkla meşru yazılım araçlarından yararlanır:

  • Kamuflaj ve Gizlilik : Meşru araçların çoğu zaman meşru kullanımları vardır, bu da onların güvenlik izleme sistemlerinin dikkatini çekme olasılığını azaltır. Siber suçlular, normal ağ etkinliğine uyum sağlamak ve tespit edilmekten kaçınmak için bu özellikten yararlanır.
  • Şüpheyi Önlemek : Güvenlik önlemleri genellikle bilinen kötü amaçlı yazılımları tespit etmek ve engellemek için tasarlanmıştır. Siber suçlular, yaygın olarak kullanılan ve güvenilir araçları kullanarak gözden kaçabilir ve güvenlik uyarılarının tetiklenme olasılığını azaltabilir.
  • Yerleşik İşlevsellik : Yasal araçlar genellikle güvenli olmayan amaçlarla kullanılabilecek çok sayıda işlevsellikle birlikte gelir. Siber suçlular, ek, potansiyel olarak tespit edilebilir kötü amaçlı yazılım dağıtmaya gerek kalmadan bir saldırının çeşitli aşamalarını yürütmek için bu yerleşik yeteneklerden yararlanır.
  • Karada Yaşamak (LotL) Taktikleri : Siber suçlular, Karada Yaşamak olarak bilinen bir taktiği kullanır ve burada güvenli olmayan faaliyetler gerçekleştirmek için sistem üzerinde mevcut olan mevcut araçları ve yardımcı programları kullanırlar. Bu, harici kötü amaçlı yazılım indirme ihtiyacını ortadan kaldırmak için PowerShell, Windows Yönetim Araçları (WMI) veya diğer yerel uygulamalar gibi araçların kullanılmasını içerir.
  • Güvenlik Savunmalarından Kaçınma : Güvenlik çözümleri genellikle bilinen kötü amaçlı yazılım imzalarını tanımlamaya ve engellemeye odaklanır. Siber suçlular, meşru araçları kullanarak imzaya dayalı tespit mekanizmalarını aşabilir, bu da güvenlik sistemlerinin faaliyetlerini tanımasını ve engellemesini zorlaştırır.
  • Uzaktan Yönetim Araçlarının Kötüye Kullanılması : Meşru sistem yönetimi için gerekli olan uzaktan yönetim araçları, siber suçlular tarafından yetkisiz erişim, yanal hareket ve veri hırsızlığı amacıyla kötüye kullanılabilir.

    • Bu tehditlere karşı koymak için kuruluşların, sürekli izlemeyi, davranışa dayalı tespit etmeyi, kullanıcı eğitimini ve siber suçluların yararlanabileceği güvenlik açıklarını azaltmak için yazılım ve sistemleri güncel tutmayı içeren çok katmanlı bir güvenlik eylem hattı uygulaması gerekir.

    trend

    En çok görüntülenen

    Yükleniyor...