SSH-Snake-Wurm, erstellt aus einem legitimen Open-Source-Tool

Ein neu veröffentlichtes Open-Source-Tool zur Netzwerkzuordnung namens SSH-Snake wurde von böswilligen Akteuren für illegale Zwecke missbraucht. Sysdig-Forscher enthüllten, dass SSH-Snake, ein sich selbst modifizierender Wurm, SSH-Anmeldeinformationen auf kompromittierten Systemen ausnutzt, um sich im Netzwerk zu verbreiten. Der Wurm durchsucht autonom bekannte Speicherorte für Anmeldeinformationen und Shell-Verlaufsdateien, um seine nächsten Aktionen zu bestimmen.

SSH-Snake wurde Anfang Januar 2024 auf GitHub veröffentlicht und wird von seinem Entwickler als leistungsstarkes Tool für die automatische Netzwerkdurchquerung beschrieben, das auf Systemen entdeckte private SSH-Schlüssel nutzt. Es erstellt eine detaillierte Karte eines Netzwerks und seiner Abhängigkeiten und hilft dabei, die potenzielle Gefährdung eines Netzwerks über SSH und private SSH-Schlüssel abzuschätzen, die von einem bestimmten Host stammen. Das Tool ist auch in der Lage, Domänen mit mehreren IPv4-Adressen aufzulösen.

SSH-Snake repliziert sich selbst und sammelt Daten

SSH-Snake wird als vollständig selbstreplizierend, selbstverbreitend und dateilos beschrieben und verhält sich wie ein Wurm, indem es sich von einem System auf ein anderes ausbreitet. Sysdig stellte fest, dass das Shell-Skript nicht nur die seitliche Bewegung erleichtert, sondern im Vergleich zu typischen SSH-Würmern auch mehr Tarnung und Flexibilität bietet.

Bei realen Angriffen setzen Bedrohungsakteure SSH-Snake ein, um Anmeldeinformationen, Ziel-IP-Adressen und den Bash-Befehlsverlauf zu sammeln, nachdem sie einen Command-and-Control-Server entdeckt haben, der die Daten hostet. Bei diesen Angriffen werden bekannte Sicherheitslücken in Apache ActiveMQ- und Atlassian Confluence-Instanzen aktiv ausgenutzt, um ersten Zugriff zu erhalten und SSH-Snake bereitzustellen.

Die Forscher betonten, dass SSH-Snake versucht, die empfohlene Praxis der Verwendung von SSH-Schlüsseln auszunutzen und Bedrohungsakteuren eine intelligentere und zuverlässigere Möglichkeit zu bieten, ihre Reichweite in einem Netzwerk auszudehnen, sobald sie Fuß gefasst haben.

Als er zu SSH-Snake befragt wurde, behauptete Joshua Rogers, der Entwickler des Tools, dass das Tool es legitimen Systembesitzern ermöglicht, Schwachstellen in ihrer Infrastruktur zu identifizieren, bevor es Angreifer tun. Rogers ermutigte Unternehmen, SSH-Snake zu nutzen, um bestehende Angriffspfade zu entdecken und proaktiv dagegen vorzugehen. Er wandte sich gegen die weit verbreitete Annahme, dass Cyberterrorismus plötzlich auftritt, und plädierte für einen proaktiven Ansatz bei der Systemgestaltung und -wartung mit umfassenden Sicherheitsmaßnahmen.