SSH ve RDP, yönetim için sunucu makinelerine (sırasıyla Linux ve Windows) uzaktan erişim sağlar. Sağlam şifreler ve erişim kontrolleri uygulanmadığı takdirde her iki protokol de kaba kuvvet saldırılarına karşı savunmasızdır.
Açığa çıkan SSH bağlantı noktaları (varsayılan 22), sunucunun kontrolünü ele geçirmek için yetkisiz oturum açma girişiminde bulunan saldırganlar tarafından taranır.
Saldırganlar, güvenliği ihlal edilmiş bir ağ içinde yanal olarak hareket etmek için SSH’yi kullanabilirken, içeri girdikten sonra kötü amaçlı yazılım dağıtabilir veya verileri çalabilirler.
Saldırganlar açık bağlantı noktası 22’yi (SSH) tarar ve Linux sistemlerine erişim sağlamak için önce bağlantı noktası tarayıcıları ve banner yakalayıcılarla potansiyel hedefleri belirleyerek, ardından bir kelime listesinden kullanıcı adı ve şifre kombinasyonlarını denemek için SSH sözlük saldırı araçlarından yararlanarak sözlük saldırılarını kullanır.
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Araştırmacılar bu saldırıları birden fazla oturum açma hatasını tespit ederek tanımladığından, başarılı oturum açma işlemleri, yapılandırma verilerini çalmalarına ve daha savunmasız sistemleri bulmak için potansiyel olarak kötü amaçlı yazılım yüklemelerine olanak tanır.
Saldırganlar, sistemlere erişim sağlamak için zayıf SSH yapılandırmalarından yararlanır ve ilk sunucuyu tehlikeye attıktan sonra Kinsing gibi bazı kötü amaçlı yazılımlar, diğer savunmasız makinelerde taramalar ve sözlük saldırıları başlatmak için çalınan kimlik bilgilerini kullanarak kendi kendine yayılabilir.
Bu süreç, saldırganların erişim alanlarını genişletmesine ve daha fazla kötü amaçlı etkinlik için potansiyel olarak virüslü cihazlardan oluşan bir ağ oluşturmasına olanak tanır.
Güvenlik çözümleri, yöneticilerin bu tür saldırıları yayılmadan önce tanımlamasına ve durdurmasına yardımcı olmak için SSH bağlantıları aracılığıyla verilen şüpheli komutları izleyebilir.
Kinsing kötü amaçlı yazılımı, yanal hareket için SSH anahtar tabanlı kimlik doğrulamasından yararlanır. Kötü amaçlı yazılımın “spre.sh” betiği, virüslü sistemlerdeki SSH yapılandırma dosyalarından ve kimlik bilgisi önbelleklerinden ana bilgisayar adlarını, bağlantı noktalarını, kullanıcı adlarını ve anahtar dosya konumlarını ayıklar.
Daha sonra bu verileri yineler, her anahtar-kullanıcı kombinasyonuyla SSH oturum açmaya çalışır ve başarılı oturum açma sonrasında, komut dosyası curl veya wget kullanarak kötü amaçlı bir indirici komut dosyasını indirip yürütür ve Kinsing’i ağ genelinde daha da yayar.
ASEC, kullanıcı adlarını, SSH ana bilgisayar adlarını ve ortak anahtar konumlarını içerebilecek sistem dosyalarına ve işlemlere odaklanan potansiyel SSH yayılma noktalarını belirlemek için bir veri toplama stratejisinin ana hatlarını çiziyor.
Toplayıcı, SSH yapılandırma dosyalarını (*/.ssh/config), bash geçmişini (*/.bash_history), sistem ana bilgisayar dosyasını (*/etc/hosts), bilinen SSH ana bilgisayarlarını (*/.ssh/known_hosts) ve 22 numaralı bağlantı noktasına bağlı işlemler.
Kullanıcıları tanımlamak için, yerleşik SSH’nin kanıtlarını toplamayı amaçlayan özel anahtarları (*/id_rsa ve */.bash_history) ve genel anahtarları (*/.ssh/config, */.bash_history ve *.pem) arayacaktır. Erişimi bir ağ üzerinden yaymak için kullanılabilecek bağlantılar ve kimlik bilgileri.
Dosya erişim davranışını izleyerek kötü niyetli yanal hareket girişimlerini tespit ederler. Özellikle, bir dosyanın hem sistem günlük dosyasını hem de SSH anahtar dosyasını okumaya çalıştığı durumları algılar.
Bu kombinasyon, dosyanın, günlüklerden kullanıcı oturum açma bilgilerini toplamaya çalışan ve ardından ağdaki diğer makinelere yayılmak için SSH anahtarlarından yararlanmaya çalışan kötü amaçlı yazılım olabileceğini gösteriyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs:
Try Free Demo