SSH-Snake Worm, sukurtas naudojant atvirojo kodo teisėtą įrankį

Piktybiški veikėjai neteisėtais tikslais panaudojo naujai sukurtą tinklo žemėlapių sudarymo įrankį, žinomą kaip SSH-Snake. „Sysdig“ tyrėjai atskleidė, kad SSH-Snake, identifikuotas kaip savaime besikeičiantis kirminas, naudoja SSH kredencialus, esančius pažeistose sistemose, kad galėtų sklisti tinkle. Kirminas savarankiškai nuskaito gerai žinomas kredencialų vietas ir apvalkalo istorijos failus, kad nustatytų tolesnius veiksmus.

2024 m. sausio pradžioje „GitHub“ išleistą „SSH-Snake“ kūrėjas apibūdina kaip galingą automatinio tinklo perėjimo įrankį, naudojant sistemose aptiktus privačius SSH raktus. Jis sukuria išsamų tinklo ir jo priklausomybių žemėlapį, padedantį įvertinti galimą tinklo kompromisą naudojant SSH ir SSH privačius raktus, kylančius iš konkretaus pagrindinio kompiuterio. Šis įrankis taip pat gali išspręsti domenus su keliais IPv4 adresais.

SSH-gyvatė savarankiškai replikuoja, renka duomenis

SSH-Snake, kuris apibūdinamas kaip visiškai savaime besidauginantis, besidauginantis ir be failų, plinta iš vienos sistemos į kitą, elgiasi kaip kirminas. Sysdig pažymėjo, kad apvalkalo scenarijus ne tik palengvina judėjimą į šoną, bet ir suteikia daugiau slaptumo ir lankstumo, palyginti su tipiniais SSH kirminais.

Realaus pasaulio atakų metu grėsmių subjektai diegia SSH-Snake, kad surinktų kredencialus, nukreiptų IP adresus ir keistų komandų istoriją, atradę komandų ir valdymo serverį, kuriame saugomi duomenys. Šios atakos apima aktyvų žinomų „Apache ActiveMQ“ ir „Atlassian Confluence“ egzempliorių saugos spragų išnaudojimą, siekiant gauti pradinę prieigą ir įdiegti SSH-Snake.

Tyrėjai pabrėžė, kad SSH-Snake bando išnaudoti rekomenduojamą SSH raktų naudojimo praktiką, suteikdama grėsmių subjektams išmanesnes ir patikimesnes priemones išplėsti savo pasiekiamumą tinkle, kai tik jie įsitvirtins.

Įrankio kūrėjas Joshua Rogersas, paklaustas apie SSH-Snake, tvirtino, kad šis įrankis leidžia teisėtiems sistemų savininkams nustatyti savo infrastruktūros pažeidžiamumą prieš užpuolikams. Rogersas paragino įmones naudoti SSH-Snake, kad atrastų esamus atakų kelius ir aktyviai juos spręstų. Jis pasisakė prieš visuotinį įsitikinimą, kad kibernetinis terorizmas atsiranda staiga, pasisakydamas už aktyvų požiūrį į sistemų projektavimą ir priežiūrą, taikant visapusiškas saugumo priemones.