SSH-Snake Worm Κατασκευασμένο από Open-Sourced Legitimate Tool

Ένα νέο εργαλείο ανοιχτού κώδικα για χαρτογράφηση δικτύου γνωστό ως SSH-Snake έχει επαναχρησιμοποιηθεί από κακόβουλους φορείς για παράνομους σκοπούς. Οι ερευνητές του Sysdig αποκάλυψαν ότι το SSH-Snake, που προσδιορίζεται ως αυτοτροποποιούμενο worm, εκμεταλλεύεται τα διαπιστευτήρια SSH που βρίσκονται σε παραβιασμένα συστήματα για να διαδοθεί σε όλο το δίκτυο. Το σκουλήκι σαρώνει αυτόνομα γνωστές τοποθεσίες διαπιστευτηρίων και αρχεία ιστορικού φλοιού για να καθορίσει τις επόμενες ενέργειές του.

Κυκλοφόρησε στο GitHub στις αρχές Ιανουαρίου 2024, το SSH-Snake χαρακτηρίζεται από τον προγραμματιστή του ως ένα ισχυρό εργαλείο για αυτόματη διέλευση δικτύου, χρησιμοποιώντας ιδιωτικά κλειδιά SSH που ανακαλύφθηκαν σε συστήματα. Δημιουργεί έναν λεπτομερή χάρτη ενός δικτύου και των εξαρτήσεών του, βοηθώντας στη μέτρηση της πιθανής παραβίασης ενός δικτύου μέσω ιδιωτικών κλειδιών SSH και SSH που προέρχονται από έναν συγκεκριμένο κεντρικό υπολογιστή. Το εργαλείο είναι επίσης ικανό να επιλύει τομείς με πολλαπλές διευθύνσεις IPv4.

SSH-Snake Self-Replicates, Harvests Data

Το SSH-Snake, που περιγράφεται ως εξ ολοκλήρου αυτοαναπαραγόμενο, αυτοδιαδιδόμενο και χωρίς αρχεία, συμπεριφέρεται σαν σκουλήκι εξαπλώνοντας από το ένα σύστημα στο άλλο. Ο Sysdig σημείωσε ότι το σενάριο του κελύφους όχι μόνο διευκολύνει την πλευρική κίνηση, αλλά παρέχει επίσης περισσότερη μυστικότητα και ευελιξία σε σύγκριση με τα τυπικά σκουλήκια SSH.

Σε επιθέσεις πραγματικού κόσμου, οι φορείς απειλών αναπτύσσουν το SSH-Snake για τη συλλογή διαπιστευτηρίων, τη στόχευση διευθύνσεων IP και το ιστορικό εντολών bash αφού ανακαλύψουν έναν διακομιστή εντολών και ελέγχου που φιλοξενεί τα δεδομένα. Αυτές οι επιθέσεις περιλαμβάνουν ενεργή εκμετάλλευση γνωστών τρωτών σημείων ασφαλείας σε στιγμιότυπα Apache ActiveMQ και Atlassian Confluence για την απόκτηση αρχικής πρόσβασης και την ανάπτυξη του SSH-Snake.

Οι ερευνητές τόνισαν ότι το SSH-Snake επιχειρεί να εκμεταλλευτεί τη συνιστώμενη πρακτική χρήσης κλειδιών SSH, παρέχοντας στους φορείς απειλών ένα πιο έξυπνο και πιο αξιόπιστο μέσο για να επεκτείνουν την εμβέλειά τους σε ένα δίκτυο μόλις εδραιώσουν.

Όταν ρωτήθηκε για το SSH-Snake, ο Joshua Rogers, ο προγραμματιστής του εργαλείου, υποστήριξε ότι το εργαλείο επιτρέπει στους νόμιμους κατόχους συστημάτων να εντοπίσουν ευπάθειες στην υποδομή τους πριν το κάνουν οι εισβολείς. Ο Rogers ενθάρρυνε τις εταιρείες να χρησιμοποιήσουν το SSH-Snake για να ανακαλύψουν υπάρχοντα μονοπάτια επίθεσης και να τα αντιμετωπίσουν προληπτικά. Υποστήριξε ενάντια στην κοινή πεποίθηση ότι η κυβερνοτρομοκρατία εμφανίζεται ξαφνικά, υποστηρίζοντας μια προληπτική προσέγγιση στο σχεδιασμό και τη συντήρηση του συστήματος με ολοκληρωμένα μέτρα ασφαλείας.