SSH-slangeorm bygget fra legitimt verktøy med åpen kildekode

Et nylig åpent verktøy for nettverkskartlegging kjent som SSH-Snake har blitt gjenbrukt av ondsinnede aktører for ulovlige formål. Sysdig-forskere avslørte at SSH-Snake, identifisert som en selvmodifiserende orm, utnytter SSH-legitimasjon funnet på kompromitterte systemer for å forplante seg over nettverket. Ormen skanner autonomt kjente legitimasjonsplasseringer og shell-historikkfiler for å bestemme de neste handlingene.

Utgitt på GitHub tidlig i januar 2024, er SSH-Snake karakterisert av sin utvikler som et potent verktøy for automatisk nettverksgjennomgang, ved å bruke SSH private nøkler oppdaget på systemer. Den lager et detaljert kart over et nettverk og dets avhengigheter, og hjelper til med å måle det potensielle kompromisset til et nettverk via SSH og SSH private nøkler som kommer fra en spesifikk vert. Verktøyet er også i stand til å løse domener med flere IPv4-adresser.

SSH-Snake selvreplikerer, høster data

SSH-Snake, som beskrives som fullstendig selvreplikerende, selvforplantende og filløs, oppfører seg som en orm ved å spre seg fra ett system til et annet. Sysdig bemerket at skallskriptet ikke bare letter sideveis bevegelse, men også gir mer stealth og fleksibilitet sammenlignet med typiske SSH-ormer.

I angrep fra den virkelige verden distribuerer trusselaktører SSH-Snake for å hente inn legitimasjon, målrette IP-adresser og bash kommandohistorikk etter å ha oppdaget en kommando-og-kontroll-server som er vert for dataene. Disse angrepene involverer aktiv utnyttelse av kjente sikkerhetssårbarheter i Apache ActiveMQ og Atlassian Confluence-forekomster for å få innledende tilgang og distribuere SSH-Snake.

Forskere understreket at SSH-Snake forsøker å utnytte den anbefalte praksisen med å bruke SSH-nøkler, og gir trusselaktører en smartere og mer pålitelig måte å utvide sin rekkevidde inn i et nettverk når de har etablert fotfeste.

På spørsmål om SSH-Snake, hevdet Joshua Rogers, verktøyets utvikler, at verktøyet lar legitime systemeiere identifisere sårbarheter i infrastrukturen før angripere gjør det. Rogers oppfordret selskaper til å bruke SSH-Snake for å oppdage eksisterende angrepsveier og adressere dem proaktivt. Han argumenterte mot den vanlige troen på at cyberterrorisme plutselig oppstår, og tok til orde for en proaktiv tilnærming til systemdesign og vedlikehold med omfattende sikkerhetstiltak.