Multi-License Discount Quote
Données concernant les menaces Malware Ver SSH-Snake

Ver SSH-Snake

Par Mezo en Malware, Worms
Se traduisent par :
Français

Un outil de cartographie du réseau nommé SSH-Snake, rendu open source, a été réutilisé par des acteurs liés à la fraude pour leurs opérations d'attaque. SSH-Snake fonctionne comme un ver auto-modifiable, utilisant les informations d'identification SSH obtenues à partir d'un système compromis pour se propager sur le réseau ciblé. Ce ver analyse de manière autonome les référentiels d'informations d'identification reconnus et les fichiers historiques du shell pour identifier ses actions ultérieures.

Le ver SSH-Snake se propage sur les réseaux de victimes

Lancé sur GitHub début janvier 2024, SSH-Snake est caractérisé par son développeur comme un outil puissant conçu pour la traversée automatisée du réseau grâce à l'utilisation de clés privées SSH découvertes sur divers systèmes.

L'outil génère une carte détaillée d'un réseau et de ses dépendances, facilitant l'évaluation des compromissions potentielles via SSH et les clés privées SSH provenant d'un hôte spécifique. De plus, SSH-Snake a la capacité de résoudre des domaines avec plusieurs adresses IPv4.

Fonctionnant comme une entité entièrement auto-répliquante et sans fichier, SSH-Snake peut être assimilé à un ver, se reproduisant et se propageant de manière autonome sur tous les systèmes. Ce script shell facilite non seulement les mouvements latéraux, mais offre également une furtivité et une flexibilité améliorées par rapport aux vers SSH conventionnels.

L'outil SSH-Snake a été exploité dans des opérations de cybercriminalité

Les chercheurs ont identifié des cas où des acteurs malveillants ont utilisé SSH-Snake dans de véritables cyberattaques pour collecter des informations d'identification, cibler des adresses IP et un historique des commandes bash. Cela s'est produit suite à l'identification d'un serveur de commande et de contrôle (C2) hébergeant les données acquises. Les attaques impliquent l'exploitation active de vulnérabilités de sécurité connues dans les instances Apache ActiveMQ et Atlassian Confluence pour établir un accès initial et déployer SSH-Snake.

SSH-Snake exploite la pratique recommandée consistant à utiliser les clés SSH pour améliorer sa diffusion. Cette approche, jugée plus intelligente et fiable, permet aux acteurs malveillants d’étendre leur portée au sein d’un réseau une fois qu’ils ont pris pied.

Le développeur de SSH-Snake souligne que l'outil fournit aux propriétaires de systèmes légitimes un moyen d'identifier les faiblesses de leur infrastructure avant que des attaquants potentiels ne le fassent de manière proactive. Les entreprises sont encouragées à tirer parti de SSH-Snake pour découvrir les chemins d'attaque existants et prendre des mesures correctives pour y remédier.

Les cybercriminels profitent souvent de logiciels légitimes à leurs fins néfastes

Les cybercriminels exploitent fréquemment des outils logiciels légitimes pour leurs activités dangereuses et leurs opérations d'attaque pour plusieurs raisons :

  • Camouflage et furtivité : les outils légitimes ont souvent des utilisations légitimes, ce qui les rend moins susceptibles d'attirer l'attention des systèmes de surveillance de sécurité. Les cybercriminels exploitent cet aspect pour se fondre dans l’activité normale du réseau et éviter d’être détectés.
  • Éviter les soupçons : les mesures de sécurité sont souvent conçues pour identifier et bloquer les logiciels malveillants connus. En utilisant des outils largement utilisés et fiables, les cybercriminels peuvent passer inaperçus et réduire la probabilité de déclencher des alertes de sécurité.
  • Fonctionnalité intégrée : les outils légitimes sont généralement dotés de nombreuses fonctionnalités qui peuvent être exploitées à des fins dangereuses. Les cybercriminels exploitent ces capacités intégrées pour exécuter différentes étapes d’une attaque sans avoir besoin de déployer des logiciels malveillants supplémentaires, potentiellement détectables.
  • Tactiques Living off the Land (LotL) : les cybercriminels emploient une tactique connue sous le nom de Living off the Land, dans laquelle ils utilisent les outils et utilitaires existants présents sur un système pour mener des activités dangereuses. Cela implique l'utilisation d'outils tels que PowerShell, Windows Management Instrumentation (WMI) ou d'autres applications natives pour éviter d'avoir à télécharger des logiciels malveillants externes.
  • Évitement des défenses de sécurité : les solutions de sécurité se concentrent souvent sur l'identification et le blocage des signatures de logiciels malveillants connues. En utilisant des outils légitimes, les cybercriminels peuvent contourner les mécanismes de détection basés sur les signatures, ce qui rend plus difficile la reconnaissance et la prévention de leurs activités par les systèmes de sécurité.
  • Utilisation abusive des outils d'administration à distance : les cybercriminels peuvent abuser des outils d'administration à distance, qui sont essentiels à la gestion légitime du système, pour obtenir un accès non autorisé, un mouvement latéral et une exfiltration de données.

    • Pour contrer ces menaces, les organisations doivent mettre en œuvre une ligne d'action de sécurité à plusieurs niveaux qui comprend une surveillance continue, une détection basée sur le comportement, l'éducation des utilisateurs et la mise à jour des logiciels et des systèmes pour atténuer les vulnérabilités qui pourraient être exploitées par les cybercriminels.

    Tendance

    Le plus regardé

    Chargement...