🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND thị trấn Quốc Oai, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Sài Sơn, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Phượng Cách, Hà Nội đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Phần mềm độc hại SSH-Snake mới có khả năng đánh cắp khóa SSH và lây lan tấn công trên mạng

22/02/2024

Tác nhân đe dọa đang sử dụng công cụ network mapping nguồn mở có tên SSH-Snake để tìm kiếm các khóa bí mật (private key) mà không bị phát hiện và mở rộng phạm vi xâm nhập trên cơ sở hạ tầng của nạn nhân.

SSH-Snake được phát hiện bởi Nhóm nghiên cứu mối đe dọa Sysdig. Nó tìm kiếm các khóa bí mật ở nhiều vị trí khác nhau và sử dụng chúng để lén lút lây lan sang các hệ thống khác trong mạng.

SSH-Snake, có sẵn dưới dạng mã nguồn mở, tự động thăm dò mạng dựa trên SSH, có thể bắt đầu từ một hệ thống và hiển thị các mối quan hệ với các máy chủ khác được kết nối thông qua SSH.

Các nhà nghiên cứu tại công ty bảo mật cloud Sysdig cho biết rằng: "Bằng cách tránh các mẫu (pattern) dễ bị phát hiện liên quan đến các cuộc tấn công đã có kịch bản, công cụ mới này mang đến khả năng tàng hình, tính linh hoạt, khả năng cấu hình tốt hơn và phát hiện thông tin xác thực toàn diện hơn so với các ‘sâu’ (worm) SSH thông thường".

Được phát hành vào ngày 4 tháng 1 năm 2024, SSH-Snake là một tập lệnh bash shell có nhiệm vụ tự động tìm kiếm thông tin đăng nhập SSH trên hệ thống bị vi phạm và sử dụng chúng để mở rộng phạm vi xâm phạm.

Các nhà nghiên cứu cho biết một điểm đặc biệt của SSH-Snake là khả năng tự sửa đổi và làm cho nó nhỏ hơn trong lần chạy đầu tiên bằng cách xóa các nhận xét, hàm không cần thiết và khoảng trắng khỏi mã.

SSH-Snake sử dụng nhiều phương pháp trực tiếp và gián tiếp khác nhau để tìm kiếm các khóa bí mật trên các hệ thống bị xâm nhập, bao gồm:

- Tìm kiếm trong các thư mục và tệp phổ biến lưu khóa SSH và thông tin đăng nhập thường được lưu trữ, bao gồm thư mục .ssh, tệp cấu hình và các vị trí khác.

- Kiểm tra các tệp shell history (ví dụ: .bash_history, .zsh_history) để tìm các lệnh (ssh, scp và rsync) có thể đã sử dụng hoặc tham chiếu các khóa bí mật.

- Sử dụng tính năng 'find_from_bash_history' để phân tích lịch sử bash cho các lệnh liên quan đến SSH, SCP và Rsync, có thể phát hiện các tham chiếu trực tiếp đến khóa bí mật, vị trí của chúng và thông tin xác thực liên quan.

- Kiểm tra nhật ký hệ thống (system log) và bộ đệm mạng (ARP tables) để xác định các mục tiêu tiềm năng và thu thập thông tin có thể gián tiếp dẫn đến việc phát hiện khóa bí mật và nơi chúng có thể được sử dụng.

Các nhà phân tích Sysdig đã xác nhận trạng thái hoạt động của SSH-Snake sau khi phát hiện một máy chủ điều khiển tấn công (C2) mà những kẻ khai thác sử dụng để lưu trữ dữ liệu thu thập được, bao gồm thông tin xác thực và địa chỉ IP của nạn nhân.

Dữ liệu này cho thấy dấu hiệu khai thác các lỗ hổng Confluence đã biết (và có thể cả các lỗ hổng khác) để giành quyền truy cập ban đầu, sau đó triển khai phần mềm độc hại trên các thiết bị này.

Theo các nhà nghiên cứu, công cụ này đã được sử dụng để tấn công khoảng 100 nạn nhân.

Sysdig coi SSH-Snake là "một bước tiến hóa" đối với phần mềm độc hại vì nó nhắm đến một giao thức kết nối an toàn được sử dụng rộng rãi trong môi trường doanh nghiệp.

Nguồn: bleepingcomputer.com.

scrolltop