SSH-Snake Worm
Một công cụ lập bản đồ mạng có tên SSH-Snake, được tạo thành nguồn mở, đã được những kẻ liên quan đến gian lận sử dụng lại cho các hoạt động tấn công của chúng. SSH-Snake hoạt động như một loại sâu tự sửa đổi, sử dụng thông tin xác thực SSH thu được từ hệ thống bị xâm nhập để lan truyền trên mạng mục tiêu. Sâu này tự động quét các kho lưu trữ thông tin xác thực được công nhận và các tệp lịch sử shell để xác định các hành động tiếp theo của nó.
Mục lục
Sâu SSH-Snake lây lan trên mạng của nạn nhân
Được phát hành trên GitHub vào đầu tháng 1 năm 2024, SSH-Snake được nhà phát triển mô tả là một công cụ mạnh mẽ được thiết kế để truyền tải mạng tự động thông qua việc sử dụng các khóa riêng SSH được phát hiện trên nhiều hệ thống khác nhau.
Công cụ này tạo ra bản đồ chi tiết về mạng và các phần phụ thuộc của mạng, hỗ trợ đánh giá các nguy cơ tiềm ẩn thông qua khóa riêng SSH và SSH có nguồn gốc từ một máy chủ cụ thể. Ngoài ra, SSH-Snake có khả năng phân giải các miền có nhiều địa chỉ IPv4.
Hoạt động như một thực thể hoàn toàn tự sao chép và không có tập tin, SSH-Snake có thể được ví như một con sâu, tự sinh sản và lây lan trên các hệ thống. Tập lệnh shell này không chỉ tạo điều kiện thuận lợi cho việc di chuyển sang bên mà còn mang lại khả năng tàng hình và tính linh hoạt nâng cao so với các sâu SSH thông thường.
Công cụ SSH-Snake đã bị khai thác trong các hoạt động tội phạm mạng
Các nhà nghiên cứu đã xác định được các trường hợp trong đó các tác nhân đe dọa đã sử dụng SSH-Snake trong các cuộc tấn công mạng thực tế để thu thập thông tin xác thực, địa chỉ IP mục tiêu và lịch sử lệnh bash. Điều này xảy ra sau khi xác định được máy chủ Chỉ huy và Kiểm soát (C2) lưu trữ dữ liệu thu được. Các cuộc tấn công liên quan đến việc tích cực khai thác các lỗ hổng bảo mật đã biết trong các phiên bản Apache ActiveMQ và Atlassian Confluence để thiết lập quyền truy cập ban đầu và triển khai SSH-Snake.
SSH-Snake khai thác phương pháp được khuyến nghị sử dụng khóa SSH để tăng cường khả năng lây lan của nó. Cách tiếp cận này, được coi là thông minh và đáng tin cậy hơn, cho phép các tác nhân đe dọa mở rộng phạm vi tiếp cận của chúng trong mạng một khi chúng đã thiết lập được chỗ đứng.
Nhà phát triển SSH-Snake nhấn mạnh rằng công cụ này cung cấp cho chủ sở hữu hệ thống hợp pháp một phương tiện để xác định điểm yếu trong cơ sở hạ tầng của họ trước khi những kẻ tấn công tiềm năng chủ động thực hiện. Các công ty được khuyến khích tận dụng SSH-Snake để phát hiện các đường tấn công hiện có và thực hiện các biện pháp khắc phục để giải quyết chúng.
Tội phạm mạng thường lợi dụng phần mềm hợp pháp cho các mục đích bất chính
Tội phạm mạng thường xuyên khai thác các công cụ phần mềm hợp pháp để thực hiện các hoạt động tấn công và hoạt động không an toàn vì một số lý do:
Để chống lại những mối đe dọa này, các tổ chức cần triển khai một dòng hành động bảo mật nhiều lớp bao gồm giám sát liên tục, phát hiện dựa trên hành vi, giáo dục người dùng và cập nhật phần mềm cũng như hệ thống để giảm thiểu các lỗ hổng có thể bị tội phạm mạng khai thác.