SSH-蛇虫

名为 SSH-Snake 的开源网络映射工具已被欺诈相关行为者重新利用以进行攻击操作。 SSH-Snake 作为一种自我修改蠕虫，利用从受感染系统获取的 SSH 凭据在目标网络中传播。该蠕虫会自动扫描已识别的凭据存储库和 shell 历史文件，以识别其后续操作。

SSH-Snake 蠕虫在受害者网络中传播

SSH-Snake 于 2024 年 1 月上旬在 GitHub 上发布，其开发人员将其描述为一种强大的工具，旨在通过使用在各种系统上发现的 SSH 私钥来自动进行网络遍历。

该工具生成网络及其依赖关系的详细地图，有助于评估来自特定主机的 SSH 和 SSH 私钥的潜在危害。此外，SSH-Snake 能够解析具有多个 IPv4 地址的域。

作为一个完全自我复制和无文件的实体，SSH-Snake 可以比作蠕虫，在系统中自主复制和传播。与传统的 SSH 蠕虫相比，该 shell 脚本不仅有利于横向移动，而且还提供了增强的隐蔽性和灵活性。

SSH-Snake 工具已被用于网络犯罪活动

研究人员已经发现威胁行为者在实际网络攻击中使用 SSH-Snake 来收集凭据、目标 IP 地址和 bash 命令历史记录的实例。这是在识别托管所获取数据的命令与控制 (C2) 服务器之后发生的。这些攻击涉及主动利用 Apache ActiveMQ 和 Atlassian Confluence 实例中的已知安全漏洞来建立初始访问并部署 SSH-Snake。

SSH-Snake 利用使用 SSH 密钥的推荐做法来增强其传播。这种方法被认为更加智能和可靠，一旦威胁行为者建立立足点，就可以在网络中扩大其影响范围。

SSH-Snake 的开发人员强调，该工具为合法系统所有者提供了一种在潜在攻击者主动采取行动之前识别其基础设施中的弱点的方法。鼓励公司利用 SSH-Snake 来发现现有的攻击路径并采取纠正措施来解决这些问题。

网络犯罪分子经常利用合法软件来达到其邪恶目的

网络犯罪分子经常利用合法软件工具进行不安全活动和攻击操作，原因如下：

为了应对这些威胁，组织需要实施多层安全行动，包括持续监控、基于行为的检测、用户教育以及保持软件和系统更新以减少可能被网络犯罪分子利用的漏洞。