SSH-Snake 显示了企业网络感染的新水平。
网络安全公司Sysdig 发现了一种名为SSH -Snake 的新恶意工具,该工具用于搜索私钥并在受害者的基础设施中悄悄移动,使其比使用 SSH 的传统病毒危险得多。
SSH-Snake 被描述为“自我修改蠕虫”,与常规 SSH 蠕虫不同,它避免了与脚本攻击相关的常见行为模式,从而提供了更大的隐蔽性。该病毒主动在各个地方寻找私钥,包括shell命令历史文件,并在映射网络后利用它们传播到新系统。
SSH-Snake 作为一种基于 SSH 的自动化网络爬行工具 公开提供。然而,Sysdig 的研究人员强调,该工具通过更彻底地搜索私钥来改进横向移动的概念。
SSH-Snake 于 2024 年 1 月 4 日发布,是一个 bash shell 脚本,其工作是在受感染的系统上自主查找 SSH 凭据并使用它们进行传播。SSH-Snake 的伟大之处在于它能够在首次运行时通过删除代码中的注释、不必要的函数和空格来自我修改和减小其大小。
该工具用途广泛,可以根据特定的操作需求进行定制,包括查找私钥和识别其潜在用途的策略。SSH-Snake 使用各种直接和间接方法来发现受感染系统上的私钥。
Sysdig 分析师在发现操作员使用 命令和控制 ( C2 ) 服务器来存储收集到的数据(包括凭据、IP 地址和受害者历史记录) 后,确认了 SSH-Snake 的运行状态 。此数据表明,主动利用已知的 Confluence 漏洞(以及可能的其他漏洞)进行初始访问,导致端点上部署病毒。
据研究人员称,该工具已被用于攻击大约 100 名受害者。Sysdig 认为 SSH-Snake 是恶意软件领域的“进化一步”,因为它针对的是企业环境中广泛使用的安全连接方法。
发表评论
您还未登录,请先登录。
登录