オープンソースの正規ツールから構築された SSH-Snake ワーム

SSH-Snake として知られるネットワーク マッピング用の新たにオープンソース ツールが、悪意のある攻撃者によって違法な目的で再利用されました。 Sysdig の研究者は、自己書き換え型ワームとして特定された SSH-Snake が、侵害されたシステム上で見つかった SSH 認証情報を悪用して、ネットワーク全体に自身を伝播していることを明らかにしました。このワームは、既知の認証情報の場所とシェル履歴ファイルを自律的にスキャンして、次のアクションを決定します。

2024 年 1 月初旬に GitHub でリリースされた SSH-Snake は、システム上で検出された SSH 秘密キーを利用した自動ネットワーク トラバーサルの強力なツールとして開発者によって特徴付けられています。ネットワークとその依存関係の詳細なマップを作成し、SSH および特定のホストから発信される SSH 秘密キーを介したネットワークの侵害の可能性を評価するのに役立ちます。このツールは、複数の IPv4 アドレスを持つドメインを解決することもできます。

SSH-Snake は自己複製し、データを収集します

SSH-Snake は、完全に自己複製、自己増殖、ファイルレスとして説明されており、あるシステムから別のシステムに拡散することでワームのように動作します。 Sysdig は、シェル スクリプトは横方向の移動を容易にするだけでなく、一般的な SSH ワームと比較してよりステルス性と柔軟性も提供すると指摘しました。

実際の攻撃では、脅威アクターは、データをホストしているコマンド アンド コントロール サーバーを発見した後、SSH-Snake を展開して資格情報、ターゲット IP アドレス、および bash コマンド履歴を収集します。これらの攻撃には、Apache ActiveMQ および Atlassian Confluence インスタンスの既知のセキュリティ脆弱性を積極的に悪用して、初期アクセスを取得し、SSH-Snake を展開することが含まれます。

研究者らは、SSH-Snake は SSH キーの使用という推奨されている方法を悪用しようとしており、攻撃者が足場を確立した後にネットワークへの到達範囲を拡大するための、よりスマートで信頼性の高い手段を提供していることを強調しました。

SSH-Snake について質問されたとき、このツールの開発者である Joshua Rogers 氏は、このツールを使用すると、正当なシステム所有者が攻撃者よりも前にインフラストラクチャの脆弱性を特定できると主張しました。 Rogers 氏は、企業が SSH-Snake を使用して既存の攻撃経路を発見し、積極的に対処することを推奨しました。同氏は、サイバーテロは突然起こるという通説に反論し、包括的なセキュリティ対策を講じたシステム設計と保守への積極的なアプローチを提唱した。