Multi-License Discount Quote
Base de Datos de Amenazas Malware Gusano serpiente SSH

Gusano serpiente SSH

Por Mezo en Malware, Worms
Traducir a:
Español

Una herramienta de mapeo de red llamada SSH-Snake, que se hizo de código abierto, ha sido reutilizada por actores relacionados con el fraude para sus operaciones de ataque. SSH-Snake funciona como un gusano que se modifica automáticamente y utiliza credenciales SSH obtenidas de un sistema comprometido para propagarse a través de la red de destino. Este gusano escanea de forma autónoma repositorios de credenciales reconocidos y archivos de historial de shell para identificar sus acciones posteriores.

El gusano serpiente SSH se propaga por las redes de las víctimas

Lanzado en GitHub a principios de enero de 2024, SSH-Snake se caracteriza por su desarrollador como una potente herramienta diseñada para el recorrido automatizado de la red mediante el uso de claves privadas SSH descubiertas en varios sistemas.

La herramienta genera un mapa detallado de una red y sus dependencias, lo que ayuda a evaluar posibles compromisos a través de SSH y claves privadas SSH que se originan en un host específico. Además, SSH-Snake tiene la capacidad de resolver dominios con múltiples direcciones IPv4.

Al funcionar como una entidad completamente autorreplicante y sin archivos, SSH-Snake puede compararse con un gusano, que se reproduce y propaga de forma autónoma a través de los sistemas. Este script de shell no sólo facilita el movimiento lateral sino que también ofrece mayor sigilo y flexibilidad en comparación con los gusanos SSH convencionales.

La herramienta SSH-Snake ha sido explotada en operaciones de cibercrimen

Los investigadores han identificado casos en los que los actores de amenazas han empleado SSH-Snake en ciberataques reales para recopilar credenciales, direcciones IP de destino e historial de comandos bash. Esto ocurrió después de la identificación de un servidor de comando y control (C2) que aloja los datos adquiridos. Los ataques implican la explotación activa de vulnerabilidades de seguridad conocidas en instancias de Apache ActiveMQ y Atlassian Confluence para establecer un acceso inicial e implementar SSH-Snake.

SSH-Snake aprovecha la práctica recomendada de utilizar claves SSH para mejorar su difusión. Este enfoque, considerado más inteligente y confiable, permite a los actores de amenazas ampliar su alcance dentro de una red una vez que establecen un punto de apoyo.

El desarrollador de SSH-Snake enfatiza que la herramienta proporciona a los propietarios legítimos de sistemas un medio para identificar debilidades en su infraestructura antes de que los atacantes potenciales lo hagan de forma proactiva. Se alienta a las empresas a aprovechar SSH-Snake para descubrir rutas de ataque existentes y tomar medidas correctivas para abordarlas.

Los ciberdelincuentes suelen aprovechar el software legítimo para sus nefastos fines

Los ciberdelincuentes frecuentemente explotan herramientas de software legítimas para sus actividades inseguras y operaciones de ataque por varias razones:

  • Camuflaje y sigilo : las herramientas legítimas a menudo tienen usos legítimos, lo que hace que sea menos probable que atraigan la atención de los sistemas de monitoreo de seguridad. Los ciberdelincuentes aprovechan este aspecto para mezclarse con la actividad normal de la red y evitar ser detectados.
  • Evitar sospechas : las medidas de seguridad suelen estar diseñadas para identificar y bloquear software malicioso conocido. Al utilizar herramientas confiables y ampliamente utilizadas, los ciberdelincuentes pueden pasar desapercibidos y reducir la probabilidad de activar alertas de seguridad.
  • Funcionalidad incorporada : las herramientas legítimas suelen incluir numerosas funcionalidades que pueden explotarse con fines inseguros. Los ciberdelincuentes aprovechan estas capacidades integradas para ejecutar varias etapas de un ataque sin la necesidad de implementar malware adicional potencialmente detectable.
  • Tácticas de Living off the Land (LotL) : los ciberdelincuentes emplean una táctica conocida como Living off the Land, donde utilizan herramientas y utilidades existentes en un sistema para llevar a cabo actividades inseguras. Esto implica el uso de herramientas como PowerShell, Windows Management Instrumentation (WMI) u otras aplicaciones nativas para evitar la necesidad de descargar malware externo.
  • Evasión de las defensas de seguridad : las soluciones de seguridad a menudo se centran en identificar y bloquear firmas de malware conocidas. Al utilizar herramientas legítimas, los ciberdelincuentes pueden eludir los mecanismos de detección basados en firmas, lo que dificulta que los sistemas de seguridad reconozcan y prevengan sus actividades.
  • Abuso de las herramientas de administración remota : los ciberdelincuentes pueden abusar de las herramientas de administración remota, que son esenciales para la gestión legítima del sistema, para obtener acceso no autorizado, movimiento lateral y filtración de datos.

    • Para contrarrestar estas amenazas, las organizaciones deben implementar una línea de acción de seguridad de múltiples capas que incluya monitoreo continuo, detección basada en el comportamiento, educación de los usuarios y mantener el software y los sistemas actualizados para mitigar las vulnerabilidades que podrían ser explotadas por los ciberdelincuentes.

    Tendencias

    Mas Visto

    Cargando...