SSH-Schlangenwurm
Ein Open-Source-Netzwerk-Mapping-Tool namens SSH-Snake wurde von betrügerischen Akteuren für ihre Angriffsoperationen zweckentfremdet. SSH-Snake fungiert als selbstmodifizierender Wurm und nutzt SSH-Anmeldeinformationen, die er von einem kompromittierten System erhalten hat, um sich im Zielnetzwerk zu verbreiten. Dieser Wurm durchsucht automatisch erkannte Anmeldeinformations-Repositorys und Shell-Verlaufsdateien, um seine nachfolgenden Aktionen zu identifizieren.
Inhaltsverzeichnis
Der SSH-Snake-Wurm breitet sich über die Netzwerke der Opfer aus
SSH-Snake wurde Anfang Januar 2024 auf GitHub veröffentlicht und wird von seinem Entwickler als leistungsstarkes Tool beschrieben, das für die automatisierte Netzwerkdurchquerung unter Verwendung privater SSH-Schlüssel entwickelt wurde, die auf verschiedenen Systemen entdeckt wurden.
Das Tool erstellt eine detaillierte Karte eines Netzwerks und seiner Abhängigkeiten und hilft so bei der Bewertung potenzieller Gefährdungen durch SSH und private SSH-Schlüssel, die von einem bestimmten Host stammen. Darüber hinaus bietet SSH-Snake die Möglichkeit, Domänen mit mehreren IPv4-Adressen aufzulösen.
SSH-Snake funktioniert als völlig selbstreplizierende und dateilose Einheit und kann mit einem Wurm verglichen werden, der sich autonom reproduziert und über Systeme verteilt. Dieses Shell-Skript erleichtert nicht nur die seitliche Bewegung, sondern bietet im Vergleich zu herkömmlichen SSH-Würmern auch verbesserte Tarnung und Flexibilität.
Das SSH-Snake-Tool wurde bei Cyberkriminalitätsoperationen ausgenutzt
Forscher haben Fälle identifiziert, in denen Bedrohungsakteure SSH-Snake bei tatsächlichen Cyberangriffen eingesetzt haben, um Anmeldeinformationen, Ziel-IP-Adressen und den Bash-Befehlsverlauf zu sammeln. Dies geschah nach der Identifizierung eines Command-and-Control-Servers (C2), auf dem die erfassten Daten gehostet wurden. Bei den Angriffen handelt es sich um die aktive Ausnutzung bekannter Sicherheitslücken in Apache ActiveMQ- und Atlassian Confluence-Instanzen, um einen ersten Zugriff herzustellen und SSH-Snake bereitzustellen.
SSH-Snake nutzt die empfohlene Praxis der Verwendung von SSH-Schlüsseln aus, um seine Verbreitung zu erhöhen. Dieser als intelligenter und zuverlässiger erachtete Ansatz ermöglicht es Bedrohungsakteuren, ihre Reichweite innerhalb eines Netzwerks zu vergrößern, sobald sie Fuß gefasst haben.
Der Entwickler von SSH-Snake betont, dass das Tool legitimen Systembesitzern die Möglichkeit gibt, Schwachstellen in ihrer Infrastruktur zu erkennen, bevor potenzielle Angreifer dies proaktiv tun. Unternehmen werden ermutigt, SSH-Snake zu nutzen, um bestehende Angriffspfade aufzudecken und Korrekturmaßnahmen zu ergreifen, um diese zu beheben.
Cyberkriminelle nutzen häufig legitime Software für ihre schändlichen Zwecke
Cyberkriminelle nutzen aus mehreren Gründen häufig legitime Softwaretools für ihre unsicheren Aktivitäten und Angriffsvorgänge aus:
Um diesen Bedrohungen entgegenzuwirken, müssen Unternehmen eine mehrschichtige Sicherheitsmaßnahme implementieren, die kontinuierliche Überwachung, verhaltensbasierte Erkennung, Benutzerschulung und die Aktualisierung von Software und Systemen umfasst, um Schwachstellen zu mindern, die von Cyberkriminellen ausgenutzt werden könnten.