Siber Suçlular, Ağ Saldırıları için Açık Kaynaklı SSH-Snake Aracını Silah Olarak Kullanıyor
SSH-Snake adlı yakın zamanda açık kaynaklı bir ağ haritalama aracı, tehdit aktörleri tarafından kötü niyetli faaliyetler yürütmek için yeniden tasarlandı.
Sysdig araştırmacısı Miguel Hernández, "SSH-Snake, güvenliği ihlal edilmiş bir sistemde keşfedilen SSH kimlik bilgilerini kullanarak kendisini ağa yaymaya başlayan, kendi kendini değiştiren bir solucandır" dedi.
"Solucan, bir sonraki hamlesini belirlemek için bilinen kimlik bilgileri konumlarını ve kabuk geçmişi dosyalarını otomatik olarak arar."
SSH-Snake ilk olarak Ocak 2024'ün başlarında GitHub'da piyasaya sürüldü ve geliştiricisi tarafından sistemlerde bulunan SSH özel anahtarlarını kullanarak otomatik ağ geçişi gerçekleştirmek için "güçlü bir araç" olarak tanımlanıyor.
Bunu yaparken, bir ağın ve bağımlılıklarının kapsamlı bir haritasını oluşturarak, belirli bir ana bilgisayardan başlayarak SSH ve SSH özel anahtarları kullanılarak bir ağın ne ölçüde tehlikeye atılabileceğini belirlemeye yardımcı olur. Ayrıca, birden çok IPv4 adresine sahip etki alanlarının çözümlenmesini de destekler.
Projenin açıklamasına göre, "Tamamen kendi kendini çoğaltıyor ve kendi kendine yayılıyor - ve tamamen dosyasız". "Birçok yönden, SSH-Snake aslında bir solucandır: Kendini kopyalar ve bir sistemden diğerine olabildiğince yayılır."
Sysdig, kabuk komut dosyasının yalnızca yanal hareketi kolaylaştırmakla kalmayıp, aynı zamanda diğer tipik SSH solucanlarından daha fazla gizlilik ve esneklik sağladığını söyledi.
Bulut güvenlik şirketi, verileri barındıran bir komuta ve kontrol (C2) sunucusunun keşfedilmesinin ardından kimlik bilgilerini, hedeflerin IP adreslerini ve bash komut geçmişini toplamak için gerçek dünya saldırılarında SSH-Snake'i dağıtan tehdit aktörlerini gözlemlediğini söyledi.
Bu saldırılar, ilk erişim elde etmek ve SSH-Snake'i dağıtmak için Apache ActiveMQ ve Atlassian Confluence örneklerindeki bilinen güvenlik açıklarından aktif olarak yararlanmayı içerir.
Hernández, "SSH anahtarlarının kullanımı, SSH-Snake'in yayılmak için yararlanmaya çalıştığı önerilen bir uygulamadır" dedi. "Daha akıllı ve daha güvenilir, bu da tehdit aktörlerinin bir yer edindikten sonra bir ağa daha uzağa ulaşmalarını sağlayacak."
SSH-Snake'in geliştiricisi Joshua Rogers, verdiği demeçte, aracın meşru sistem sahiplerine altyapılarındaki zayıflıkları saldırganlardan önce belirlemenin bir yolunu sunduğunu ve şirketleri SSH-Snake'i "var olan saldırı yollarını keşfetmek ve düzeltmek" için kullanmaya çağırdığını söyledi.
Rogers, "Siber terörizmin sistemlere birdenbire 'gerçekleştiğine' inanılıyor gibi görünüyor, bu da yalnızca güvenliğe reaktif bir yaklaşım gerektiriyor" dedi. "Bunun yerine, deneyimlerime göre, sistemler kapsamlı güvenlik önlemleriyle tasarlanmalı ve sürdürülmelidir."
"Bir siber terörist altyapınızda SSH-Snake'i çalıştırabiliyor ve binlerce sunucuya erişebiliyorsa, altyapıyı yeniden canlandırmak amacıyla altyapıdan sorumlu kişilere odaklanılmalıdır.
Rogers ayrıca, basit bir kabuk komut dosyası tarafından kolayca ele geçirilebilecek güvensiz altyapı tasarlayan ve uygulayan şirketlerin "ihmalkar operasyonlarına" da dikkat çekti.
Rogers, "Sistemler aklı başında bir şekilde tasarlanır ve korunursa ve sistem sahipleri / şirketleri gerçekten güvenliğe önem verirse, böyle bir komut dosyasının yürütülmesinden kaynaklanan serpinti en aza indirilir - ayrıca SSH-Snake tarafından gerçekleştirilen eylemler bir saldırgan tarafından manuel olarak gerçekleştirilirse, "diye ekledi Rogers.
"Gizlilik politikalarını okumak ve veri girişi yapmak yerine, bu tür bir komut dosyasının tüm altyapılarını ele geçirmesinden endişe duyan şirketlerin güvenlik ekipleri, sistemlerinin tamamen yeniden mimarisini eğitimli güvenlik uzmanları tarafından gerçekleştirmelidir - ilk etapta mimariyi oluşturanlar tarafından değil."
Açıklama, Aqua'nın Apache Hadoop ve Apache Druid'deki yanlış yapılandırmalardan ve mevcut kusurlardan yararlanarak kripto para madenciliği yapmak ve dağıtılmış hizmet reddi (DDoS) saldırıları düzenlemek için bir ağa toplayan Lucifer adlı yeni bir botnet kampanyasını ortaya çıkarmasıyla geldi.
Hibrit cryptojacking kötü amaçlı yazılımı ilk olarak Haziran 2020'de Palo Alto Networks Unit 42 tarafından belgelendi ve Windows uç noktalarını tehlikeye atmak için bilinen güvenlik kusurlarından yararlanma yeteneğine dikkat çekti.
Bulut güvenlik firması, geçen ay Apache büyük veri yığınını hedef alan 3.000 kadar farklı saldırının tespit edildiğini söyledi. Bu aynı zamanda madencileri ve rootkit'leri dağıtmak için duyarlı Apache Flink örneklerini ayıranları da içerir.
Güvenlik araştırmacısı Nitzan Yaakov, "Saldırgan, bu hizmetlerdeki mevcut yanlış yapılandırmalardan ve güvenlik açıklarından yararlanarak saldırıyı gerçekleştiriyor" dedi.
"Apache açık kaynak çözümleri birçok kullanıcı ve katılımcı tarafından yaygın olarak kullanılmaktadır. Saldırganlar, bu kapsamlı kullanımı, saldırılarını uygulamak için tükenmez kaynaklara sahip olmak için bir fırsat olarak görebilirler."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı