{"id":6271,"date":"2024-03-15T22:51:46","date_gmt":"2024-03-15T21:51:46","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6271"},"modified":"2024-03-15T22:51:46","modified_gmt":"2024-03-15T21:51:46","slug":"zloupotreba-ssh-snake-alata","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/03\/15\/zloupotreba-ssh-snake-alata\/","title":{"rendered":"Zloupotreba SSH-Snake alata"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>Sysdig Threat Research Team<\/em> (<em>TRT<\/em>), <a href=\"https:\/\/sysdig.com\/blog\/ssh-snake\/\" target=\"_blank\" rel=\"noopener\">su otkrili<\/a> zloupotrebu <em>SSH-Snake <\/em>alata za mapiranje mre\u017ee koji je objavljen 4. januara 2024. godine. <em>SSH-Snake<\/em> je samo-pode\u0161avaju\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/worm\/\" target=\"_blank\" rel=\"nofollow noopener\">crv<\/a> koji koristi <em>SSH<\/em> akreditive otkrivene na kompromitovanom sistemu za \u0161irenje po cijeloj mre\u017ei. Crv automatski pretra\u017euje poznate lokacije akreditiva i datoteke istorije komandnog okru\u017eenja da bi odredio svoj sljede\u0107i potez.<\/span><\/p>\n<div id=\"attachment_6272\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6272\" class=\"size-full wp-image-6272\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat.jpg\" alt=\"SSH-Snake\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/03\/SSH-Snake-alat-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6272\" class=\"wp-caption-text\"><em>Zloupotreba SSH-Snake alata; Source: Bing Image Creator<\/em><\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/15\/zloupotreba-ssh-snake-alata\/#SSH-SNAKE_ALAT\" >SSH-SNAKE ALAT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/15\/zloupotreba-ssh-snake-alata\/#SSH-SNAKE_MOGUCNOSTI\" >SSH-SNAKE MOGU\u0106NOSTI<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/15\/zloupotreba-ssh-snake-alata\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/03\/15\/zloupotreba-ssh-snake-alata\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"SSH-SNAKE_ALAT\"><\/span><span style=\"font-size: 14pt;\"><strong><em>SSH-SNAKE<\/em> ALAT<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni akteri<\/a> zloupotrebljavaju <em>SSH<\/em> akreditive da bi dobili neovla\u0161teni pristup sistemima i mre\u017eama. Koriste\u0107i slabe ili kompromitovane akreditive, oni mogu da izvr\u0161e zlonamjerne aktivnosti, jer im zloupotreba <em>SSH<\/em> akreditiva pru\u017ea skrivenu ulaznu ta\u010dku za kompromitaciju i kontrolu ciljanih sistema. Posmatrano kroz ovaj narativ, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> su otkrili zloupotrebu <a href=\"https:\/\/github.com\/MegaManSec\/SSH-Snake\" target=\"_blank\" rel=\"noopener\"><em>SSH-Snake<\/em><\/a> alata u poku\u0161aju da koristi <em>SSH<\/em> akreditive za \u0161irenje i infekciju sistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cZlonamjerni akteri \u0107e uvijek imati alate za postizanje svojih ciljeva, \u010dak i ako nijedan nije javno objavljen. Otvoreno objavljivanje alata kao \u0161to je SSH-Snake moglo bi u\u0161tedjeti zlonamjernim akterima neko vreme, ali kori\u0161tenje ovih alata \u010dini ih uo\u010dljivijim. Tako\u0111e, objavljivanjem ovih alata, branioci imaju priliku da nau\u010de kako rade i vide kako se njihova odbrana dr\u017ei.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; Miguel Hernandez, Sysdig Sr. Threat Research Engineer &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>SSH-Snake<\/em> predstavlja zna\u010dajno odstupanje od uobi\u010dajenih <em>SSH<\/em> crva, koriste\u0107i napredne tehnike za izbjegavanje otkrivanja dok izvodi <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> unutar kompromitovanih mre\u017ea. Za razliku od svojih prethodnika, <em>SSH-Snake<\/em> funkcioni\u0161e kao samo-pode\u0161avaju\u0107i crv,\u00a0 \u0161to nagla\u0161ava njegovu sposobnost adaptacije. Odstupanjem od prepoznatljivih obrazaca povezanih sa napadima kori\u0161tenjem skripti, <em>SSH-Snake<\/em> posti\u017ee nivo prikrivenosti i fleksibilnosti koji ranije nije vi\u0111en u eksploatacijama zasnovanim na SSH protokolu. Njegov primarni cilj je pomno tra\u017eenje privatnih klju\u010deva na razli\u010ditim lokacijama unutar inficiranih sistema, omogu\u0107avaju\u0107i neometano \u0161irenje unutar mre\u017ee.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"SSH-SNAKE_MOGUCNOSTI\"><\/span><span style=\"font-size: 14pt;\"><strong><em>SSH-SNAKE<\/em> MOGU\u0106NOSTI<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>SSH-Snake<\/em> nudi kroz svoju prilagodljivost pokreni i radi (eng. <em>plug-and-play<\/em>) radno okru\u017eenje uz prilago\u0111avanje specifi\u010dnim operativnim zahtevima. Njegove sveobuhvatne mogu\u0107nosti otkrivanja akreditiva prevazilaze one kod tradicionalnih <em>SSH<\/em> crva, zahvaljuju\u0107i vi\u0161estranom pristupu koji obuhvata i direktne i indirektne metode. Neke od <em>SSH-Snake<\/em> tehnika su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Ispitivanje uobi\u010dajenih direktorijuma i datoteka u kojima su <em>SSH<\/em> klju\u010devi i akreditivi obi\u010dno uskladi\u0161teni, uklju\u010duju\u0107i .<em>ssh<\/em> direktorijume i konfiguracione datoteke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ra\u0161\u010dlanjavanje datoteka istorije komandnog okru\u017eenja da bi se otkrile komande povezane sa <em>SSH<\/em> operacijama, kao \u0161to su <em>ssh<\/em>, <em>scp<\/em> i <em>rsync<\/em>, koje mogu da sadr\u017ee reference na privatne klju\u010deve,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tenje funkcije \u201c<em>find_from_bash_history<\/em>\u201d za izdvajanje komandi povezanih sa <em>SSH <\/em>iz datoteka bash istorije, poma\u017eu\u0107i u identifikaciji lokacija privatnih klju\u010deva i povezanih akreditiva,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ispitivanje sistemskih evidencija i mre\u017enog ke\u0161a da bi se stekao uvid u potencijalne mete i indirektno otkrili privatni klju\u010devi.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\">Da je ovaj <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> operativna pokazuje otkri\u0107e servera za komandu i kontrolu (<em>C2<\/em>) koji su koristili zlonamjerni akteri za skladi\u0161tenje prikupljenih podataka, uklju\u010duju\u0107i akreditive i <em>IP<\/em> adrese \u017ertava. Prema saznanjima sigurnosnih istra\u017eiva\u010da, ovaj alat je zloupotrijebljen za napad na oko 100 korisnika.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>SSH-Snake<\/em> predstavlja evoluciju zlonamjernog softvera koji obi\u010dno koriste zlonamjerni akteri, jer omogu\u0107ava pametnije i pouzdanije rije\u0161enje za dalje \u0161irenje unutar mre\u017ee kada zlonamjerni akteri dobiju po\u010detno upori\u0161te. Po\u0161to je upotreba <em>SSH<\/em> klju\u010deva preporu\u010dena praksa, nju <em>SSH-Snake <\/em>poku\u0161ava da iskoristi za \u0161irenje uz upotrebu tehnike napada\u00a0 bez datoteke \u0161to mo\u017ee ote\u017eati detekciju. Zato su neophodna sigurnosna rje\u0161enja rije\u0161enja koja otkrivaju napade \u010dim se dogode omogu\u0107ava da se ubrza proces istrage i da se izlo\u017eenost svede na minimum.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cZa sve vlasnike infrastrukture ili one koji ih odr\u017eavaju,a\u00a0 koji su zabrinuti da \u0107e njihove sisteme preuzeti SSH-Snake, preklinjem ih da sami iskoriste SSH-Snake u svojoj sopstvenoj infrastrukturi kako bi otkrili postojec\u0301e putanje napada &#8211; i popravili ih.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/joshua.hu\/ssh-snake-ssh-network-traversal-discover-ssh-private-keys-network-graph\" target=\"_blank\" rel=\"noopener\"><em>Joshua Rogers, security engineer<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se suprotstavile ovakvim prijetnjama, poslovne organizacije treba da primjene vi\u0161eslojnu bezbjednosnu liniju djelovanja koja podrazumijeva:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Kori\u0161tenje sveobuhvatnih bezbjednosnnih rije\u0161enja kao \u0161to su softver za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) ili softver za pro\u0161ireno otkrivanje i odgovor (eng. <em>Extended detection and response \u2013 XDR<\/em>). To su rje\u0161enja koja mogu upozoriti korisnike sistema na potencijalne napade i sprije\u010diti dalji napredak zlonamjernog softvera prije nego \u0161to do\u0111e do zna\u010dajnije \u0161tete,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno a\u017euriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver mo\u017ee da iskoristi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) i i rje\u0161enja za pristup zasnovana na akreditivima poma\u017eu poslovnim organizacijama da obezbijede svoju kriti\u010dnu imovinu i visokorizi\u010dne korisnike, \u0161to ote\u017eava napada\u010dima da budu uspje\u0161ni,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izvr\u0161iti <em>firewall<\/em> pode\u0161avanja koja \u0107e ograni\u010dite nepotreban izlazni saobra\u0107aj, posebno za nestandardne portove povezane sa zlonamjernim softverima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati sveobuhvatna rje\u0161enja za prac\u0301enje i otkrivanje anomalne mre\u017ene aktivnosti i potencijalne indikatore kompromisa. Prac\u0301enje u realnom vremenu omogu\u0107ava brzu reakciju na incidente i ubla\u017eavanje sigurnosnih incidenata prije nego \u0161to oni eskaliraju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija zaposlenih o rizicima koji se odnose na mre\u017eu, ure\u0111aje i infrastrukturu poslovne organizacije mogu zna\u010dajno pomo\u0107i u prevenciji napada, jer ljudski faktor ostaje jedna od najvec\u0301ih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomo\u0107i u identifikaciji i prijavi sajber napada.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di kompanije Sysdig Threat Research Team (TRT), su otkrili zloupotrebu SSH-Snake alata za mapiranje mre\u017ee koji je objavljen 4. januara 2024. godine. SSH-Snake je samo-pode\u0161avaju\u0107i crv koji koristi SSH akreditive otkrivene na kompromitovanom&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6272,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[628,567,291,865,98],"class_list":["post-6271","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-c2","tag-lateral-movement","tag-ssh","tag-ssh-snake","tag-worm"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6271","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6271"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6271\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6272"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6271"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6271"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6271"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}