SSH-Snake Worm Nyílt forráskódú Legitimate eszközből készült

Az SSH-Snake néven ismert, frissen nyílt forráskódú hálózati feltérképezési eszközt rosszindulatú szereplők tiltott célokra újrahasznosították. A Sysdig kutatói felfedték, hogy az önmódosító féregként azonosított SSH-Snake a kompromittált rendszereken talált SSH-hitelesítő adatokat használja ki, hogy elterjedjen a hálózaton. A féreg önállóan ellenőrzi a jól ismert hitelesítő adatok helyeit és a shell-előzmények fájljait, hogy meghatározza a következő műveleteit.

A GitHubon 2024. január elején kiadott SSH-Snake-t a fejlesztője az automatikus hálózati bejárás hatékony eszközeként jellemzi, amely a rendszereken felfedezett SSH privát kulcsokat használja fel. Részletes térképet hoz létre a hálózatról és annak függőségeiről, segítve a hálózat esetleges kompromittálását egy adott gazdagéptől származó SSH és SSH privát kulcsok segítségével. Az eszköz több IPv4-címmel rendelkező tartományok feloldására is képes.

Az SSH-Snake önmagát replikálja, adatokat gyűjt be

Az SSH-Snake teljes mértékben önreplikáló, önszaporodó és fájlmentes, így az egyik rendszerről a másikra terjedve féregként viselkedik. Sysdig megjegyezte, hogy a shell script nemcsak az oldalirányú mozgást segíti elő, hanem nagyobb lopakodóképességet és rugalmasságot is biztosít a tipikus SSH férgekhez képest.

Valós támadások esetén a fenyegetések szereplői az SSH-Snake segítségével hitelesítő adatokat gyűjtenek be, IP-címeket céloznak meg, és bash parancselőzményeket találnak, miután felfedezték az adatokat tároló parancs- és vezérlőkiszolgálót. Ezek a támadások magukban foglalják az Apache ActiveMQ és az Atlassian Confluence példányok ismert biztonsági réseinek aktív kihasználását a kezdeti hozzáférés megszerzéséhez és az SSH-Snake telepítéséhez.

A kutatók hangsúlyozták, hogy az SSH-Snake megpróbálja kihasználni az SSH-kulcsok használatának ajánlott gyakorlatát, és intelligensebb és megbízhatóbb eszközt kínál a fenyegetések szereplőinek, hogy kiterjeszthessék hozzáférésüket a hálózatba, miután megvették a lábukat.

Amikor az SSH-Snake-ről kérdezték, Joshua Rogers, az eszköz fejlesztője azt állította, hogy az eszköz lehetővé teszi a jogos rendszertulajdonosok számára, hogy a támadók előtt azonosítsák infrastruktúrájuk sebezhetőségét. Rogers arra ösztönözte a vállalatokat, hogy az SSH-Snake segítségével fedezzék fel a meglévő támadási útvonalakat, és proaktív módon kezeljék azokat. Azzal érvelt, hogy az általános vélekedés szerint a kiberterrorizmus hirtelen történik, és a rendszertervezés és -karbantartás proaktív megközelítését szorgalmazta átfogó biztonsági intézkedésekkel.