Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Malware SSH-Snake Worm

SSH-Snake Worm

Đến năm Mezo năm Malware, Worms
Dịch sang:
Tiếng Việt Nam

Một công cụ lập bản đồ mạng có tên SSH-Snake, được tạo thành nguồn mở, đã được những kẻ liên quan đến gian lận sử dụng lại cho các hoạt động tấn công của chúng. SSH-Snake hoạt động như một loại sâu tự sửa đổi, sử dụng thông tin xác thực SSH thu được từ hệ thống bị xâm nhập để lan truyền trên mạng mục tiêu. Sâu này tự động quét các kho lưu trữ thông tin xác thực được công nhận và các tệp lịch sử shell để xác định các hành động tiếp theo của nó.

Sâu SSH-Snake lây lan trên mạng của nạn nhân

Được phát hành trên GitHub vào đầu tháng 1 năm 2024, SSH-Snake được nhà phát triển mô tả là một công cụ mạnh mẽ được thiết kế để truyền tải mạng tự động thông qua việc sử dụng các khóa riêng SSH được phát hiện trên nhiều hệ thống khác nhau.

Công cụ này tạo ra bản đồ chi tiết về mạng và các phần phụ thuộc của mạng, hỗ trợ đánh giá các nguy cơ tiềm ẩn thông qua khóa riêng SSH và SSH có nguồn gốc từ một máy chủ cụ thể. Ngoài ra, SSH-Snake có khả năng phân giải các miền có nhiều địa chỉ IPv4.

Hoạt động như một thực thể hoàn toàn tự sao chép và không có tập tin, SSH-Snake có thể được ví như một con sâu, tự sinh sản và lây lan trên các hệ thống. Tập lệnh shell này không chỉ tạo điều kiện thuận lợi cho việc di chuyển sang bên mà còn mang lại khả năng tàng hình và tính linh hoạt nâng cao so với các sâu SSH thông thường.

Công cụ SSH-Snake đã bị khai thác trong các hoạt động tội phạm mạng

Các nhà nghiên cứu đã xác định được các trường hợp trong đó các tác nhân đe dọa đã sử dụng SSH-Snake trong các cuộc tấn công mạng thực tế để thu thập thông tin xác thực, địa chỉ IP mục tiêu và lịch sử lệnh bash. Điều này xảy ra sau khi xác định được máy chủ Chỉ huy và Kiểm soát (C2) lưu trữ dữ liệu thu được. Các cuộc tấn công liên quan đến việc tích cực khai thác các lỗ hổng bảo mật đã biết trong các phiên bản Apache ActiveMQ và Atlassian Confluence để thiết lập quyền truy cập ban đầu và triển khai SSH-Snake.

SSH-Snake khai thác phương pháp được khuyến nghị sử dụng khóa SSH để tăng cường khả năng lây lan của nó. Cách tiếp cận này, được coi là thông minh và đáng tin cậy hơn, cho phép các tác nhân đe dọa mở rộng phạm vi tiếp cận của chúng trong mạng một khi chúng đã thiết lập được chỗ đứng.

Nhà phát triển SSH-Snake nhấn mạnh rằng công cụ này cung cấp cho chủ sở hữu hệ thống hợp pháp một phương tiện để xác định điểm yếu trong cơ sở hạ tầng của họ trước khi những kẻ tấn công tiềm năng chủ động thực hiện. Các công ty được khuyến khích tận dụng SSH-Snake để phát hiện các đường tấn công hiện có và thực hiện các biện pháp khắc phục để giải quyết chúng.

Tội phạm mạng thường lợi dụng phần mềm hợp pháp cho các mục đích bất chính

Tội phạm mạng thường xuyên khai thác các công cụ phần mềm hợp pháp để thực hiện các hoạt động tấn công và hoạt động không an toàn vì một số lý do:

  • Ngụy trang và tàng hình : Các công cụ hợp pháp thường có cách sử dụng hợp pháp, khiến chúng ít có khả năng thu hút sự chú ý từ các hệ thống giám sát an ninh. Tội phạm mạng tận dụng khía cạnh này để hòa nhập với hoạt động mạng bình thường và tránh bị phát hiện.
  • Tránh nghi ngờ : Các biện pháp bảo mật thường được thiết kế để xác định và chặn phần mềm độc hại đã biết. Bằng cách sử dụng các công cụ đáng tin cậy và được sử dụng rộng rãi, tội phạm mạng có thể lọt vào tầm ngắm và giảm khả năng kích hoạt cảnh báo bảo mật.
  • Chức năng tích hợp : Các công cụ hợp pháp thường có nhiều chức năng có thể bị khai thác cho các mục đích không an toàn. Tội phạm mạng tận dụng các khả năng tích hợp này để thực hiện các giai đoạn tấn công khác nhau mà không cần triển khai phần mềm độc hại bổ sung, có khả năng bị phát hiện.
  • Chiến thuật sống ngoài đất (LotL) : Tội phạm mạng sử dụng một chiến thuật được gọi là Sống ngoài đất, trong đó chúng sử dụng các công cụ và tiện ích hiện có trên hệ thống để thực hiện các hoạt động không an toàn. Điều này liên quan đến việc sử dụng các công cụ như PowerShell, Công cụ quản lý Windows (WMI) hoặc các ứng dụng gốc khác để tránh phải tải xuống phần mềm độc hại bên ngoài.
  • Trốn tránh các biện pháp bảo vệ an ninh : Các giải pháp bảo mật thường tập trung vào việc xác định và chặn các dấu hiệu phần mềm độc hại đã biết. Bằng cách sử dụng các công cụ hợp pháp, tội phạm mạng có thể vượt qua các cơ chế phát hiện dựa trên chữ ký, khiến hệ thống bảo mật khó nhận ra và ngăn chặn hoạt động của chúng hơn.
  • Lạm dụng các công cụ quản trị từ xa : Các công cụ quản trị từ xa, rất cần thiết để quản lý hệ thống hợp pháp, có thể bị tội phạm mạng lạm dụng để truy cập trái phép, di chuyển ngang và đánh cắp dữ liệu.

    • Để chống lại những mối đe dọa này, các tổ chức cần triển khai một dòng hành động bảo mật nhiều lớp bao gồm giám sát liên tục, phát hiện dựa trên hành vi, giáo dục người dùng và cập nhật phần mềm cũng như hệ thống để giảm thiểu các lỗ hổng có thể bị tội phạm mạng khai thác.

    xu hướng

    Xem nhiều nhất

    Lừa đảo qua email 'Geek Squad'

    Phishing, Spam
    34,832
    Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
    Đang tải...