92 è la metà di 99

VShell: 1500 server fanno parte di una campagna di spionaggio globale

Hai dato qualche contributo negli ultimi giorni a Backdoor «VShell» visto? In caso contrario, fare attenzione: Esperto di sicurezza belga Nviso ha scoperto una massiccia campagna di spionaggio informatico che si sta diffondendo in tutto il mondo 1.500 server Si è infiltrato e questa minaccia è più grave di quanto sembri a prima vista. Security-Insider.de ha un bel articolo online.

Qui puoi scoprire cosa c'è dietro VShell e soprattutto: Cosa devi fare ora per proteggere i tuoi sistemi e per rilevare e prevenire tali attacchi. Questo funziona alla grande con informazioni dettagliate sulla procedura.

Cos'è VShell e cosa vogliono gli aggressori?

VShell è un'azienda altamente sviluppata Trojan di accesso remoto (RAT), a cui sono assegnati gruppi di lingua cinese. Originariamente iniziato come un progetto open source innocuo, è diventato Un potente strumento per lo spionaggio a lungo termine.

L'obiettivo degli aggressori non è solo il semplice furto di dati. Si tratta di lungo termine e Accesso strategico garantire la sicurezza delle infrastrutture critiche quali l'energia, la sanità, le comunicazioni e i trasporti. Tale accesso può quindi essere utilizzato per monitorare, influenzare o addirittura interrompere i tempi geopoliticamente tesi.

VShell è estremamente potente:

  • Controllo completo: Il malware consente agli aggressori di eseguire comandi arbitrari e spiare il sistema dal vivo, inclusi screenshot, accesso ai file, upload e download.
  • Camuffamento: Utilizza la comunicazione crittografata al server di comando e controllo (C2) e lascia solo tracce forensi minime. Interessante dettaglio dal rapporto Nviso: Anche se VShell crittografa la sua configurazione tramite AES, spesso può essere facilmente decrittografato dai difensori, poiché la chiave da 16 byte si trova direttamente di fronte ai dati crittografati in memoria, probabilmente un errore operativo degli aggressori! 
  • Estensibilità: Gli operatori utilizzano spesso funzioni "one-click" per fornire strumenti aggiuntivi quali: Mimikatz (per leggere le credenziali) o fscan (per scansioni di rete interne) ricaricare direttamente.
  • Pivotante: I sistemi compromessi sono spesso utilizzati in proxy (ad esempio SOCKS5) per incanalare ulteriore traffico ed effettuare ulteriori attacchi alla rete e spostarsi lateralmente.

Ok, ma come entrano gli aggressori? (rilevamento di & evitamento)

In quasi tutti gli incidenti VShell osservati, l'accesso iniziale è stato lo stesso: il Sfruttamento delle vulnerabilità note (Vulnerabilità sfruttate note) in sistemi accessibili al pubblico. Gli aggressori utilizzano lacune nei sistemi esposti a Internet.

Ecco perché c'è un Strategia di difesa in più fasi decisivo. Ecco i migliori consigli per rilevare e prevenire gli attacchi VShell:

1. La base: Robusta gestione delle vulnerabilità

  • Prio 1: Il vostro Gestione delle vulnerabilità deve essere impermeabile, soprattutto per tutti i sistemi accessibili da Internet. Patch questi sistemi immediatamente!
  • Interrompere l'accesso iniziale: Poiché il primo passo è quasi sempre una vulnerabilità nota, si prende la superficie di attacco principale dell'attaccante patchandolo costantemente.

2. Impedire il movimento laterale (segmentazione & regolazione del traffico)

  • Segmentazione della rete: Migliora la segmentazione delle tue reti. Questo limita enormemente il movimento laterale degli aggressori se ottengono un primo piede nella porta.
  • Controllo del traffico in uscita: Regolare rigorosamente il traffico in uscita, soprattutto con sistemi esposti come la DMZ. L'obiettivo: Impedire connessioni non autorizzate di comando e controllo (C2) all'infrastruttura VShell.

3. Rilevamento proattivo

  • Rilevamento stratificato: Affidati a una strategia di rilevamento multilivello che combina endpoint e soluzioni di rete.
  • Utilizzo di IDS/NIDS: Uso Sistemi di rilevamento delle intrusioni di rete (NIDS) Proprio come Suricata. Esistono regole specifiche per identificare i modelli di comunicazione di VShell, in particolare le strette di mano crittografate del client e del server o l'attività dello stager (prima che VShell venga avviato).
  • Caccia alle minacce: Completa il tuo monitoraggio continuo con Caccia alle minacce proattiva. Cercare attivamente riferimenti a VShell o strumenti correlati.

4. Preparazione alle emergenze (risposta agli incidenti)

  • Crea un piano: Avere una struttura Piano di risposta agli incidenti nel cassetto.
  • Pulizia: In caso di hit, è necessario agire rapidamente: Eliminare tutti Meccanismi di persistenza, assicurarsi che il vettore di attacco iniziale sia stato chiuso, e Assicurati di reimpostare tutte le password. Valutare il danno totale e il potenziale deflusso di dati.

VShell è un esempio di quanto rapidamente gli strumenti offensivi vengano utilizzati in modo improprio da attori sostenuti dallo stato (o indipendenti) per lo spionaggio. Ma non siamo alla mercé di questo. Attraverso coerente Gestione delle vulnerabilità e uno Rilevamento intelligente e proattivo Crei la resilienza di cui hai bisogno per essere preparato a questa minaccia continua.

State attenti!

Stephan
|
| | | |
verso l'alto | homepage | per cercare