Yeni SSH-Snake Kötü Amaçlı Yazılımı SSH Kimlik Bilgilerini Kötüye Kullanıyor

Tehdit aktörleri, sistemlere ve ağlara yetkisiz erişim elde etmek için SSH kimlik bilgilerini kötüye kullanır. Zayıf veya güvenliği ihlal edilmiş kimlik bilgilerinden yararlanarak kötü amaçlı faaliyetler yürütebilirler.

SSH kimlik bilgilerinin kötüye kullanılması, tehdit aktörlerinin hedeflenen sistemleri ele geçirmesi ve kontrol etmesi için gizli bir giriş noktası sağlar.

4 Ocak 2024’te Sysdig Tehdit Araştırma Ekibi (TRT), kendi kendine yayılan bir solucan olarak kullanılan SSH-Snake adlı bir ağ haritalama aracı keşfetti.

Aracın diğer sistemlere yayılma ve bulaşma girişiminde SSH kimlik bilgilerinden yararlandığı tespit edildi. Sonuç olarak, ağ güvenliği için önemli bir tehdit oluşturur ve dikkatle ele alınmalıdır.

Bir sonraki hedefleri için kimlik bilgilerini ve kabuk geçmişini araştırıyor ve şu anda tehdit aktörleri SSH-Snake kötü amaçlı yazılımını aktif olarak kullanıyor.

SSH-Snake Kötü Amaçlı Yazılımı SSH Kimlik Bilgilerini Kötüye Kullanıyor

Saldırganlar, sisteme erişim sağladıktan sonra diğer hedefleri bulmak ve onlara ulaşmak için genellikle yanal hareketi kullanır. Önceki araştırmalar, bağlanmak ve süreci tekrarlamak için SSH kimlik bilgilerini arayan bir solucanı ortaya çıkardı.

Özel anahtar bulmada SSH-Snake’in yanal hareketi mükemmeldir. Gizlilik, esneklik, yapılandırılabilirlik ve daha iyi kimlik bilgileri keşfi sağlamak için komut dosyasıyla yazılmış saldırı modellerinden kaçabilir. Normal SSH solucanlarına göre daha verimli ve başarılıdır.

SSH-Snake kötü amaçlı yazılımı, keşfedilen SSH özel anahtarlarıyla ağ geçişini otomatikleştirir, bir ağı ve bağımlılıkları haritalandırır.

Hedeflere giriş yaparak ve işlemi tekrarlamak için kopyalayarak sistemdeki SSH kimlik bilgilerini özerk bir şekilde arayan bir bash betiği. Ancak sonuçlar tehdit aktörlerine devam eden operasyonlarda yardımcı oluyor.

SSH-Snake, dosyasız işlem için yorumları, boşlukları ve gereksiz işlevleri kaldırarak boyutunu küçültecek şekilde kendi kendini değiştirir.

Gelişmiş işlevsellik için başlangıç ​​biçimi daha büyüktür ve kendi kendini kopyalayarak her cihazda çalışır ve dosyasızdır.

SSH-Snake, SSH’ye bağlı sistemleri keşfetme gibi zahmetli bir görevi otomatikleştirerek zamandan ve emekten tasarruf sağlar.

Aşağıda SSH-Snake’in gerçekleştirdiği tüm otomatik görevlerden bahsettik: –

• Mevcut sistemde herhangi bir SSH özel anahtarını bulun,
• Mevcut sistemde, özel anahtarların kabul edilebileceği ana bilgisayarları veya hedefleri (kullanıcı@ana bilgisayar) bulun,
• Keşfedilen tüm özel anahtarları kullanarak tüm hedeflere SSH girişiminde bulunun,
• Bir hedefe başarıyla bağlanıldıysa, bağlı sistemdeki #1 – #4 adımlarını tekrarlayın.

Bu kötü amaçlı yazılım, çeşitli yöntemler kullanarak hedef sistemdeki çeşitli özel anahtar türlerini avlar. Anahtar konumları ve kimlik bilgilerini ortaya çıkararak bash geçmişini SSH ile ilgili komutlar için tarar.

Sysdig TRT, SSH-Snake konuşlandırıcılarının C2 sunucusunu buldu. Sunucu, her hedef için kurban IP’lerinin açığa çıkarılmasına yardımcı olan SSH-Snake çıktısını barındırır.

CNCF, Falco’yu kuluçkalıyor ve bulutta yerel nadirlikler için gerçek zamanlı uyarılar sunuyor. Kullanıcılar varsayılan veya özel kuralları kolayca dağıtabilir. SSH-Snake’i varsayılan kurallarla tespit edin veya daha iyi tespit için yenilerini oluşturun.

SSH-Snake, tehdit aktörlerinin yeteneklerini geliştirerek statik tespitten kaçmaya yardımcı olan SSH anahtarlarının kullanılmasını sağlar.

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.