Yakın zamanda açık kaynaklı bir ağ haritalama aracı adı verildi SSH-Yılan Tehdit aktörleri tarafından kötü amaçlı faaliyetler yürütmek üzere yeniden tasarlandı.
Sysdig araştırmacısı Miguel Hernández, “SSH-Snake, tehlikeye atılmış bir sistemde keşfedilen SSH kimlik bilgilerini kullanarak ağ geneline yayılmaya başlayan, kendi kendini değiştiren bir solucandır.” söz konusu.
“Solucan, bir sonraki hamlesini belirlemek için bilinen kimlik bilgisi konumlarını ve kabuk geçmişi dosyalarını otomatik olarak arar.”
SSH-Snake ilk olarak Ocak 2024’ün başlarında GitHub’da yayınlandı ve geliştiricisi tarafından “güçlü bir araç” olarak tanımlanıyor. otomatik ağ geçişi sistemlerde bulunan SSH özel anahtarlarını kullanmak.
Bunu yaparken, bir ağın ve bağımlılıklarının kapsamlı bir haritasını oluşturarak, belirli bir ana bilgisayardan başlayarak SSH ve SSH özel anahtarları kullanılarak bir ağın ne ölçüde tehlikeye atılabileceğinin belirlenmesine yardımcı olur. Aynı zamanda destekliyor alan adlarının çözünürlüğü birden fazla IPv4 adresine sahip olan.
“Tamamen kendi kendini kopyalıyor ve kendi kendine yayılıyor ve tamamen dosyasız.” projenin açıklaması. “Birçok açıdan SSH-Snake aslında bir solucandır: Kendini çoğaltır ve bir sistemden diğerine olabildiğince yayılır.”
Sysdig, kabuk komut dosyasının yalnızca yanal hareketi kolaylaştırmakla kalmayıp aynı zamanda diğer tipik SSH solucanlarına göre ek gizlilik ve esneklik sağladığını söyledi.
Bulut güvenlik şirketi, tehdit aktörlerinin kimlik bilgilerini, hedeflerin IP adreslerini ve bash komut geçmişini toplamak için SSH-Snake’i gerçek dünya saldırılarında kullandığını gözlemlediğini ve bunun ardından, bir komut ve kontrol (C2) sunucusunun keşfedilmesini gözlemlediğini söyledi. veri.
Hernández, “SSH anahtarlarının kullanımı, SSH-Snake’in yayılmak için faydalanmaya çalıştığı önerilen bir uygulamadır” dedi. “Daha akıllı ve daha güvenilir olması, tehdit aktörlerinin bir yer edindikten sonra ağın daha da ilerisine ulaşmalarına olanak tanıyacak.”
SSH-Snake’in geliştiricisi Joshua Rogers, yorum almak üzere kendisine ulaşıldığında, The Hacker News’e aracın yasal sistem sahiplerine altyapılarındaki zayıflıkları saldırganlardan önce tespit etmelerini sağlayacak bir yol sunduğunu ve şirketleri “saldırıyı keşfetmek için SSH-Snake’i kullanmaya çağırdığını” söyledi. mevcut yollar ve bunları düzeltin.”
Rogers, “Siber terörizmin sistemlerde birdenbire ortaya çıktığına ve bunun da yalnızca güvenliğe tepkisel bir yaklaşım gerektirdiğine yaygın olarak inanılıyor” dedi. “Bunun yerine, deneyimlerime göre sistemler kapsamlı güvenlik önlemleriyle tasarlanmalı ve bakımı yapılmalıdır.”
“Eğer bir siber terörist altyapınızda SSH-Snake çalıştırabiliyorsa ve binlerce sunucuya erişebiliyorsa, altyapıyı tek bir sunucudan ödün vermeyecek şekilde yeniden canlandırmak amacıyla altyapıdan sorumlu kişilere odaklanılmalıdır. ana bilgisayar diğer binlerce kişi arasında kopyalanamaz.”
Rogers ayrıca, basit bir kabuk komut dosyasıyla kolayca devralınabilecek, güvensiz altyapı tasarlayan ve uygulayan şirketlerin “ihmalkar operasyonlarına” da dikkat çekti.
“Sistemler mantıklı bir şekilde tasarlanmış ve bakımı yapılmış olsaydı ve sistem sahipleri/şirketleri güvenliği gerçekten önemsiyorsa, böyle bir komut dosyasının çalıştırılmasından kaynaklanan etkiler en aza indirilecektir – ayrıca SSH-Snake tarafından gerçekleştirilen eylemler bir saldırgan tarafından manuel olarak gerçekleştirilmiş olsaydı. ” diye ekledi Rogers.
“Gizlilik politikalarını okumak ve veri girişi yapmak yerine, bu tür komut dosyalarının tüm altyapıyı ele geçirmesinden endişe duyan şirketlerin güvenlik ekipleri, sistemlerinin tamamen yeniden mimarisini, ilk başta mimariyi yaratanlar değil, eğitimli güvenlik uzmanları tarafından gerçekleştirmelidir. yer.”
Açıklama, Aqua’nın yeni bir botnet kampanyasını ortaya çıkarmasıyla geldi. Lucifer Apache Hadoop ve Apache Druid’deki yanlış yapılandırmalardan ve mevcut kusurlardan yararlanarak bunları kripto para birimi madenciliği yapmak ve dağıtılmış hizmet reddi (DDoS) saldırıları düzenlemek için bir ağa hapsediyor.
Hibrit cryptojacking kötü amaçlı yazılımı ilk belgelenen Haziran 2020’de Palo Alto Networks Birim 42 tarafından Windows uç noktalarını tehlikeye atmak için bilinen güvenlik kusurlarından yararlanma becerisine dikkat çekildi.
Bulut güvenlik firması, geçtiğimiz ay Apache büyük veri yığınını hedef alan 3.000 kadar farklı saldırının tespit edildiğini söyledi. Bu aynı zamanda madencileri ve rootkit’leri dağıtmak için duyarlı Apache Flink örneklerini ayıranları da içerir.
Güvenlik araştırmacısı Nitzan Yaakov, “Saldırgan, saldırıyı bu hizmetlerdeki mevcut yanlış yapılandırmalardan ve güvenlik açıklarından yararlanarak gerçekleştiriyor” dedi. söz konusu.
“Apache açık kaynak çözümleri birçok kullanıcı ve katkıda bulunanlar tarafından yaygın bir şekilde kullanılıyor. Saldırganlar bu kapsamlı kullanımı, kendilerine yönelik saldırılarını gerçekleştirmek için tükenmez kaynaklara sahip olma fırsatı olarak görebilir.”