Attacchi ai server SSH tramite tunneling SSH

22. Gennaio 2024
| Non ci sono commenti
Attacchi ai server SSH tramite tunneling SSH

Condividi post

Un pioniere nella sicurezza nativa del cloud ha fatto luce su una minaccia di lunga data ma poco conosciuta ai server SSH. Il tunneling SSH consente agli autori delle minacce di utilizzare i server SSH come proxy slave e instradare il traffico attraverso di essi.

Diversi mesi di ricerca da parte del team di ricerca Nautilus di Aqua hanno rivelato che i criminali informatici hanno trovato un modo per utilizzare il tunneling SSH per creare pool di proxy. L'obiettivo dei criminali informatici era soprattutto quello di diffondere SPAM, ma sono state trovate anche prove di furto di informazioni o di cryptomining. Durante l'indagine il Team Nautilus ha riscontrato numerosi indizi secondo cui server SSH compromessi venivano offerti nel Dark Web come parte di pacchetti di proxy pool. Per compromettere i server SSH, i criminali informatici utilizzano, tra le altre cose, attacchi di forza bruta. Tuttavia, durante l’osservazione dei suoi honeypot SSH, il gruppo di ricerca Nautilus ha osservato anche campagne che effettuavano spostamenti laterali verso le connessioni SSH.

Come funziona il tunneling SSH

Il tunneling SSH è un metodo comunemente utilizzato che crea connessioni di rete sicure e crittografate tra due server. Ciò consente il trasferimento dei dati su una rete non affidabile. Lo scopo principale è creare un canale di comunicazione sicuro tra un host locale e uno remoto, che può quindi essere utilizzato per eseguire il tunneling di vari protocolli e servizi di rete.

I criminali informatici hanno obiettivi diversi quando prendono il controllo dei server SSH. Un utilizzo per i criminali è la distribuzione di SPAM, solitamente attraverso lo sfruttamento di applicazioni web, il furto di account o malware. A quanto pare i criminali informatici hanno ora trovato il modo di compromettere i server SSH ed eseguire le loro campagne SPAM utilizzando il tunneling SSH attraverso i server SSH compromessi delle loro ignare vittime. Inoltre i criminali prendono di mira le informazioni presenti sui server. Sono state osservate richieste di ricerca di domini che tentavano di recuperare dati “Whois”, nonché richieste di geolocalizzazione alla ricerca di informazioni sugli indirizzi IP. Abbiamo notato anche richieste API dirette a vari servizi, inclusa l'API Steam. Steam è un sito di giochi e sembra che queste richieste mirino a raccogliere informazioni su diversi utenti. Sono state osservate anche attività di cryptomining e script kiddie.

Minaccia di tunneling SSH

Gli aggressori possono ottenere il controllo completo di un server tramite l'accesso SSH compromesso. Ciò può portare a impatti significativi. Ad esempio, un server SSH compromesso può danneggiare la reputazione di un indirizzo IP, il che può portare al divieto degli indirizzi IP che interrompono la posta elettronica, i dati o altro traffico in uscita. La reputazione di un'azienda può essere compromessa anche a causa della sua associazione ad attività fraudolente o dannose. Pertanto, questo tipo di attacco può avere un impatto negativo sulle aziende anche senza una violazione dei dati.

Come sempre, i comportamenti dannosi dovrebbero essere identificati il ​​prima possibile. Poiché il tunneling SSH prende di mira i server SSH che fanno parte dell'infrastruttura nativa del cloud di un'azienda, la difesa è efficace quanto la sicurezza dell'ambiente nativo del cloud. È possibile utilizzare una piattaforma di protezione delle applicazioni cloud native (CNAPP) per rilevare configurazioni errate nei server SSH e comportamenti dannosi.

Misure protettive

Queste sono raccomandazioni aggiuntive per garantire la sicurezza degli ambienti interessati:

  • Impedire Essi accesso SSH non necessario.
  • uso Strumenti di monitoraggio della rete per bloccare o limitare il traffico in entrata e in uscita.
  • uso password complesse e univoche o autenticazione basata su chiave per l'accesso SSH.
  • Strumento un'autenticazione a più fattori (MFA) per aumentare la sicurezza SSH.
  • Tenere sotto controllo Registra SSH per attività insolite o tentativi di accesso multipli non riusciti.
  • Aggiorna e patch Utilizzare regolarmente il software SSH per eliminare le vulnerabilità note.
  • Prendere in considerazione l'uso dell'autenticazione basata su certificato SSH per aumentare la sicurezza.
  • Puoi dBlocca facilmente il tunneling delle porte modificando: "AllowTCPForwarding no".
Altro su AquaSec.com

 

A proposito di Aqua Security

Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

HeadCrab 2.0 scoperto

La campagna HeadCrab contro i server Redis, attiva dal 2021, continua a infettare con successo gli obiettivi con la nuova versione. Il miniblog dei criminali ➡ Leggi di più

Messaggi PR
, , , ,