SSH-蛇蟲
名為 SSH-Snake 的開源網路投影工具已被詐欺相關行為者重新利用以進行攻擊操作。 SSH-Snake 作為一種自我修改蠕蟲,利用從受感染系統取得的 SSH 憑證在目標網路中傳播。此蠕蟲會自動掃描已識別的憑證儲存庫和 shell 歷史文件,以識別其後續操作。
目錄
SSH-Snake 蠕蟲在受害者網路中傳播
SSH-Snake 於 2024 年 1 月初在 GitHub 上發布,其開發人員將其描述為一種強大的工具,旨在透過使用在各種系統上發現的 SSH 私鑰來自動進行網路遍歷。
該工具產生網路及其依賴關係的詳細地圖,有助於評估來自特定主機的 SSH 和 SSH 私鑰的潛在危險。此外,SSH-Snake 能夠解析具有多個 IPv4 位址的網域。
作為一個完全自我複製和無檔案的實體,SSH-Snake 可以比喻為蠕蟲,在系統中自主複製和傳播。與傳統的 SSH 蠕蟲相比,此 shell 腳本不僅有利於橫向移動,而且還提供了增強的隱藏性和靈活性。
SSH-Snake 工具已被用於網路犯罪活動
研究人員已經發現威脅行為者在實際網路攻擊中使用 SSH-Snake 來收集憑證、目標 IP 位址和 bash 命令歷史記錄的實例。這是在識別託管所獲取資料的命令與控制 (C2) 伺服器之後發生的。這些攻擊涉及主動利用 Apache ActiveMQ 和 Atlassian Confluence 實例中的已知安全漏洞來建立初始存取並部署 SSH-Snake。
SSH-Snake 利用使用 SSH 金鑰的建議做法來增強其傳播。這種方法被認為更加聰明和可靠,一旦威脅行為者建立立足點,就可以在網路中擴大其影響範圍。
SSH-Snake 的開發人員強調,該工具為合法系統所有者提供了一種在潛在攻擊者主動採取行動之前識別其基礎設施中的弱點的方法。鼓勵公司利用 SSH-Snake 來發現現有的攻擊路徑並採取糾正措施來解決這些問題。
網路犯罪分子經常利用合法軟體來達到其邪惡目的
網路犯罪分子經常利用合法軟體工具進行不安全活動和攻擊操作,原因如下:
為了應對這些威脅,組織需要實施多層安全行動,包括持續監控、基於行為的檢測、用戶教育以及保持軟體和系統更新以減少可能被網路犯罪分子利用的漏洞。