Worm SSH-Snake creato da uno strumento legittimo open source

Uno strumento appena open source per la mappatura della rete noto come SSH-Snake è stato riproposto da attori malintenzionati per scopi illeciti. I ricercatori di Sysdig hanno rivelato che SSH-Snake, identificato come un worm automodificante, sfrutta le credenziali SSH trovate su sistemi compromessi per propagarsi attraverso la rete. Il worm scansiona autonomamente posizioni di credenziali ben note e file di cronologia della shell per determinare le azioni successive.

Rilasciato su GitHub all'inizio di gennaio 2024, SSH-Snake è caratterizzato dal suo sviluppatore come un potente strumento per l'attraversamento automatico della rete, utilizzando le chiavi private SSH scoperte sui sistemi. Crea una mappa dettagliata di una rete e delle sue dipendenze, aiutando a valutare la potenziale compromissione di una rete tramite chiavi private SSH e SSH provenienti da un host specifico. Lo strumento è anche in grado di risolvere domini con più indirizzi IPv4.

SSH-Snake si auto-replica e raccoglie dati

Descritto come interamente autoreplicante, autopropagante e senza file, SSH-Snake si comporta come un worm diffondendosi da un sistema all'altro. Sysdig ha notato che lo script della shell non solo facilita il movimento laterale ma fornisce anche maggiore discrezione e flessibilità rispetto ai tipici worm SSH.

Negli attacchi nel mondo reale, gli autori delle minacce distribuiscono SSH-Snake per raccogliere credenziali, prendere di mira indirizzi IP e cronologia dei comandi bash dopo aver scoperto un server di comando e controllo che ospita i dati. Questi attacchi implicano lo sfruttamento attivo delle vulnerabilità di sicurezza note nelle istanze di Apache ActiveMQ e Atlassian Confluence per ottenere l'accesso iniziale e distribuire SSH-Snake.

I ricercatori hanno sottolineato che SSH-Snake tenta di sfruttare la pratica consigliata di utilizzare le chiavi SSH, fornendo agli autori delle minacce un mezzo più intelligente e affidabile per estendere la loro portata in una rete una volta stabilito un punto d'appoggio.

Interrogato su SSH-Snake, Joshua Rogers, lo sviluppatore dello strumento, ha affermato che lo strumento consente ai legittimi proprietari di sistemi di identificare le vulnerabilità nella loro infrastruttura prima che lo facciano gli aggressori. Rogers ha incoraggiato le aziende a utilizzare SSH-Snake per scoprire percorsi di attacco esistenti e affrontarli in modo proattivo. Ha contestato la convinzione comune secondo cui il terrorismo informatico avviene all'improvviso, sostenendo un approccio proattivo alla progettazione e alla manutenzione del sistema con misure di sicurezza globali.