Gusano SSH-Snake creado a partir de una herramienta legítima de código abierto

Actores maliciosos han reutilizado una nueva herramienta de código abierto para mapeo de redes conocida como SSH-Snake con fines ilícitos. Los investigadores de Sysdig revelaron que SSH-Snake, identificado como un gusano automodificador, explota las credenciales SSH encontradas en sistemas comprometidos para propagarse a través de la red. El gusano escanea de forma autónoma ubicaciones de credenciales conocidas y archivos de historial de shell para determinar sus próximas acciones.

Lanzado en GitHub a principios de enero de 2024, SSH-Snake se caracteriza por su desarrollador como una potente herramienta para el recorrido automático de la red, utilizando claves privadas SSH descubiertas en los sistemas. Crea un mapa detallado de una red y sus dependencias, lo que ayuda a evaluar el posible compromiso de una red a través de SSH y claves privadas SSH que se originan en un host específico. La herramienta también es capaz de resolver dominios con múltiples direcciones IPv4.

SSH-Snake se autorreplica y recopila datos

Descrito como completamente autorreplicante, autopropagante y sin archivos, SSH-Snake se comporta como un gusano al propagarse de un sistema a otro. Sysdig señaló que el script de shell no sólo facilita el movimiento lateral sino que también proporciona más sigilo y flexibilidad en comparación con los típicos gusanos SSH.

En los ataques del mundo real, los actores de amenazas implementan SSH-Snake para recopilar credenciales, direcciones IP de destino e historial de comandos bash después de descubrir un servidor de comando y control que aloja los datos. Estos ataques implican la explotación activa de vulnerabilidades de seguridad conocidas en instancias de Apache ActiveMQ y Atlassian Confluence para obtener acceso inicial e implementar SSH-Snake.

Los investigadores enfatizaron que SSH-Snake intenta explotar la práctica recomendada de usar claves SSH, proporcionando a los actores de amenazas un medio más inteligente y confiable para extender su alcance en una red una vez que establecen un punto de apoyo.

Cuando se le preguntó sobre SSH-Snake, Joshua Rogers, el desarrollador de la herramienta, afirmó que la herramienta permite a los propietarios legítimos de sistemas identificar vulnerabilidades en su infraestructura antes de que lo hagan los atacantes. Rogers animó a las empresas a utilizar SSH-Snake para descubrir rutas de ataque existentes y abordarlas de forma proactiva. Se opuso a la creencia común de que el terrorismo cibernético ocurre repentinamente y abogó por un enfoque proactivo para el diseño y mantenimiento del sistema con medidas de seguridad integrales.