SSH-slangeorm bygget fra legitimt værktøj med åben kildekode

Et frisk open source-værktøj til netværkskortlægning kendt som SSH-Snake er blevet genbrugt af ondsindede aktører til ulovlige formål. Sysdig-forskere afslørede, at SSH-Snake, identificeret som en selvmodificerende orm, udnytter SSH-legitimationsoplysninger fundet på kompromitterede systemer til at udbrede sig på tværs af netværket. Ormen scanner selvstændigt velkendte legitimationssteder og shell-historikfiler for at bestemme dens næste handlinger.

SSH-Snake, der blev udgivet på GitHub i begyndelsen af januar 2024, er karakteriseret ved sin udvikler som et potent værktøj til automatisk netværksgennemgang, ved at bruge SSH private nøgler opdaget på systemer. Det opretter et detaljeret kort over et netværk og dets afhængigheder, og hjælper med at måle det potentielle kompromittering af et netværk via SSH og SSH private nøgler, der stammer fra en specifik vært. Værktøjet er også i stand til at løse domæner med flere IPv4-adresser.

SSH-Snake selvreplikerer, høster data

SSH-Snake, der beskrives som fuldstændig selvreplikerende, selvudbredende og filløs, opfører sig som en orm ved at sprede sig fra et system til et andet. Sysdig bemærkede, at shell-scriptet ikke kun letter lateral bevægelse, men også giver mere stealth og fleksibilitet sammenlignet med typiske SSH-orme.

Ved angreb fra den virkelige verden implementerer trusselsaktører SSH-Snake for at høste legitimationsoplysninger, målrette IP-adresser og bash kommandohistorie efter at have opdaget en kommando-og-kontrol-server, der hoster dataene. Disse angreb involverer aktiv udnyttelse af kendte sikkerhedssårbarheder i Apache ActiveMQ- og Atlassian Confluence-forekomster for at få indledende adgang og implementere SSH-Snake.

Forskere understregede, at SSH-Snake forsøger at udnytte den anbefalede praksis med at bruge SSH-nøgler, hvilket giver trusselsaktører et smartere og mere pålideligt middel til at udvide deres rækkevidde til et netværk, når de først har etableret fodfæste.

Da han blev spurgt om SSH-Snake, hævdede Joshua Rogers, værktøjets udvikler, at værktøjet tillader legitime systemejere at identificere sårbarheder i deres infrastruktur, før angribere gør det. Rogers opfordrede virksomheder til at bruge SSH-Snake til at opdage eksisterende angrebsstier og adressere dem proaktivt. Han argumenterede imod den almindelige tro på, at cyberterrorisme opstår pludseligt, og talte for en proaktiv tilgang til systemdesign og vedligeholdelse med omfattende sikkerhedsforanstaltninger.