Multi-License Discount Quote
База даних загроз Malware SSH-Зміїний черв'як

SSH-Зміїний черв'як

До Mezo року в Malware, Worms році
Перекласти на:
Українська

Інструмент відображення мережі під назвою SSH-Snake, який був відкритий, був перепрофільований учасниками шахрайства для своїх атак. SSH-Snake функціонує як самомодифікований хробак, який використовує облікові дані SSH, отримані від скомпрометованої системи, для поширення цільовою мережею. Цей хробак автономно сканує розпізнані сховища облікових даних і файли історії оболонок, щоб визначити свої подальші дії.

SSH-Snake Worm поширюється в мережах жертв

SSH-Snake, випущений на GitHub на початку січня 2024 року, характеризується його розробником як потужний інструмент, розроблений для автоматизованого обходу мережі за допомогою закритих ключів SSH, виявлених у різних системах.

Інструмент створює детальну карту мережі та її залежностей, допомагаючи в оцінці потенційних компрометацій через SSH і приватні ключі SSH, що надходять від певного хоста. Крім того, SSH-Snake має можливість розпізнавати домени з кількома адресами IPv4.

SSH-Snake, який функціонує як повністю самовідтворювана безфайлова сутність, можна порівняти з хробаком, який автономно відтворює та поширює систему. Цей сценарій оболонки не тільки полегшує бічний рух, але також пропонує покращену скритність і гнучкість порівняно зі звичайними хробаками SSH.

Інструмент SSH-Snake використовувався в операціях проти кіберзлочинності

Дослідники виявили випадки, коли зловмисники використовували SSH-Snake у реальних кібератаках для збору облікових даних, цільових IP-адрес і історії команд bash. Це сталося після ідентифікації командно-контрольного (C2) сервера, на якому розміщені отримані дані. Атаки включають активне використання відомих уразливостей безпеки в екземплярах Apache ActiveMQ і Atlassian Confluence для встановлення початкового доступу та розгортання SSH-Snake.

SSH-Snake використовує рекомендовану практику використання ключів SSH для посилення свого поширення. Цей підхід, який вважається більш інтелектуальним і надійним, дозволяє суб’єктам загрози розширити свій охоплення в мережі, коли вони закріпляться.

Розробник SSH-Snake наголошує, що інструмент надає законним власникам системи засоби для виявлення слабких місць у їхній інфраструктурі до того, як це зроблять потенційні зловмисники. Компанії заохочуються використовувати SSH-Snake, щоб виявити існуючі шляхи атак і вжити заходів щодо їх усунення.

Кіберзлочинці часто користуються легітимним програмним забезпеченням для своїх мерзенних цілей

Кіберзлочинці часто використовують законні програмні засоби для своєї небезпечної діяльності та атакують з кількох причин:

  • Камуфляж і скритність : законні інструменти часто мають законне використання, що зменшує ймовірність того, що вони привернуть увагу систем моніторингу безпеки. Кіберзлочинці використовують цей аспект, щоб злитися зі звичайною мережевою активністю та уникнути виявлення.
  • Уникнення підозри : заходи безпеки часто спрямовані на виявлення та блокування відомого шкідливого програмного забезпечення. Використовуючи широко використовувані та надійні інструменти, кіберзлочинці можуть не помічати радарів і зменшити ймовірність спрацьовування сповіщень системи безпеки.
  • Вбудовані функції : легітимні інструменти зазвичай мають численні функції, які можна використовувати в небезпечних цілях. Кіберзлочинці використовують ці вбудовані можливості для виконання різних етапів атаки без необхідності розгортання додаткових шкідливих програм, які потенційно можна виявити.
  • Тактика «Життя за межами землі» (LotL) : кіберзлочинці використовують тактику, відому як «Життя за межами землі», коли вони використовують наявні в системі інструменти та утиліти для здійснення небезпечних дій. Це передбачає використання таких інструментів, як PowerShell, Windows Management Instrumentation (WMI) або інших рідних програм, щоб уникнути необхідності завантажувати зовнішнє шкідливе програмне забезпечення.
  • Ухилення від засобів захисту : рішення безпеки часто зосереджуються на ідентифікації та блокуванні відомих сигнатур зловмисного програмного забезпечення. Використовуючи законні інструменти, кіберзлочинці можуть обходити механізми виявлення на основі сигнатур, що ускладнює системам безпеки розпізнавання та запобігання їхнім діям.
  • Зловживання інструментами віддаленого адміністрування : Інструменти віддаленого адміністрування, які необхідні для законного керування системою, можуть бути використані кіберзлочинцями для несанкціонованого доступу, бокового переміщення та викрадання даних.

    • Щоб протистояти цим загрозам, організаціям необхідно запровадити багаторівневу лінію безпеки, яка включає безперервний моніторинг, виявлення на основі поведінки, навчання користувачів і постійне оновлення програмного забезпечення та систем для пом’якшення вразливостей, якими можуть скористатися кіберзлочинці.

    В тренді

    Найбільше переглянуті

    Шахрайство електронною поштою "Geek Squad".

    Phishing, Spam
    34,832
    Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...
    Завантаження...