Kriminelle nutzen SSH-Tunneling
SSH-Server per SSH-Tunneling übernommen
Aqua Security, Spezialist im Bereich Cloud Native Security, hat eine seit Langem bestehende, aber kaum bekannte Bedrohung für SSH-Server näher untersucht. Über SSH-Tunneling können Bedrohungsakteure SSH-Server als Slave-Proxy nutzen und Datenverkehr über ihn weiterleiten.
Eine mehrmonatige Forschung von Aquas Research-Team „Nautilus“ hat demnach ergeben, dass Cyberkriminelle einen Weg gefunden haben, um SSH-Tunneling zu nutzen, um Proxy-Pools zu erstellen. Die Cyberkriminellen haben es dabei vornehmlich auf die Verbreitung von Spam abgesehen, doch es wurden auch Hinweise auf Informationsdiebstahl oder Kryptomining gefunden. Im Rahmen der Untersuchung fand das Team Nautilus zahlreiche Hinweise darauf, dass kompromittierte SSH-Server im Dark Web als Teil von Proxy-Pool-Paketen angeboten werden.
Um SSH-Server zu kompromittieren, nutzen Cyberkriminelle unter anderem Brute-Force-Angriffe. Das Research-Team Nautilus konnte während Beobachtungen seiner SSH-Honeypots jedoch auch Kampagnen beobachten, die laterale Bewegungen zu SSH-Verbindungen durchführten.
SSH-Tunneling ist eine häufig genutzte Methode, mit der sichere und verschlüsselte Netzwerkverbindungen zwischen zwei Servern hergestellt werden. Auf diese Weise lassen sich Daten über ein nicht vertrauenswürdiges Netzwerk übertragen. Der Hauptzweck besteht darin, einen sicheren Kommunikationskanal zwischen einem lokalen und einem entfernten Host zu schaffen, der dann zum Tunneln verschiedener Netzwerkprotokolle und -dienste dienen kann.
Cyberkriminelle haben verschiedene Ziele bei der Übernahme von SSH-Servern. Ein Anwendungszweck für Kriminelle ist die Verbreitung von Spam, die normalerweise durch die Ausnutzung von Webanwendungen, Kontoübernahmen oder Malware erfolgt. Cyberkriminelle haben nun offenbar Wege gefunden, um SSH-Server zu kompromittieren und ihre Spam-Kampagnen mittels SSH-Tunnelings über die kompromittierten SSH-Server ihrer nichtsahnenden Opfer abzuwickeln.
Des Weiteren haben es die Kriminellen auf Informationen auf den Servern abgesehen. Es wurden Domain-Lookup-Anfragen beobachtet, bei denen versucht wurde, „Whois“-Daten abzurufen, sowie Geolocation-Anfragen, bei denen Informationen über IP-Adressen gesucht wurden. Außerdem fielen API-Anfragen auf, die an verschiedene Dienste gerichtet waren, darunter auch die Steam-API. Steam ist eine Spiele-Website. Es scheint, dass diese Anfragen darauf abzielen, Informationen über verschiedene Nutzer zu sammeln. Auch Kryptomining-Aktivitäten und Script-Kiddies habe man beobachtet.
- SSH-Server per SSH-Tunneling übernommen
- Kompromittierter SSH-Zugang
Lesen Sie mehr zum Thema
