云安全公司 Sysdig 报告称,大约 100 个组织的 SSH 凭据被最近发布的具有类似蠕虫功能的开源渗透测试工具窃取。
该工具名为 SSH-Snake,由澳大利亚安全研究员 Joshua Rogers 开发,于 1 月份发布,可使用从本地系统获取的 SSH 密钥实现自动网络遍历。
开发人员表示, SSH-Snake是一个 Bash 脚本,旨在查找系统上的 SSH 密钥,并创建网络及其依赖关系的映射、通过 SSH 连接的系统之间的关系,以及使用 SSH 密钥对网络造成危害的程度。
该脚本还提供各种功能、设置和输出,并且可以进行自定义以搜索私钥及其可使用的目的地。它允许管理员更好地了解他们的网络,并且也可以禁用打印已识别私钥的选项。
然而,正如 Rogers 指出的那样,SSH-Snake 旨在用于黑客目的,其行为就像蠕虫一样。
“它是完全自我复制和自我传播的——并且完全无文件。从很多方面来说,SSH-Snake 实际上是一种蠕虫病毒:它会自我复制,并尽可能地从一个系统传播到另一个系统,”Rogers 指出。
事实上,SSH-Snake 的主要特性已经吸引了威胁行为者,他们开始在恶意攻击中使用它,Sysdig 观察到攻击者利用 Confluence 漏洞进行企业网络的初始访问,并部署 SSH-Snake 来获取凭据并进行横向移动。
对攻击者的命令与控制 (C&C) 服务器的分析表明,使用 SSH-Snake 收集的信息包括受害者的凭据、IP 地址和 bash 历史记录。
“我们目睹受害者名单不断增加,这意味着这是一项持续的行动。截至撰写本文时,受害者人数约为 100 人,” Sysdig 说。
该网络安全公司还指出,SSH-Snake 避免了与脚本攻击相关的可检测模式,与其他 SSH 恶意软件相比,提供了更高的隐蔽性。但是,可以使用运行时威胁检测工具来识别其活动。
“SSH-Snake 是威胁行为者通常部署的恶意软件的一个进化步骤。它更智能、更可靠,一旦威胁行为者站稳脚跟,他们就能更深入地进入网络。”Sysdig 指出。
原文始发于微信公众号(河南等级保护测评):黑客快速滥用“SSH-Snake”蠕虫类工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论