SSH-Snake Worm gebouwd op basis van open source legitieme tool

Een nieuwe, open source tool voor het in kaart brengen van netwerken, bekend als SSH-Snake, is door kwaadwillende actoren hergebruikt voor illegale doeleinden. Sysdig-onderzoekers onthulden dat SSH-Snake, geïdentificeerd als een zelfmodificerende worm, SSH-referenties misbruikt die gevonden worden op gecompromitteerde systemen om zichzelf over het netwerk te verspreiden. De worm scant autonoom bekende referentielocaties en shell-geschiedenisbestanden om de volgende acties te bepalen.

SSH-Snake, begin januari 2024 uitgebracht op GitHub, wordt door de ontwikkelaar gekarakteriseerd als een krachtig hulpmiddel voor automatische netwerktraversal, waarbij gebruik wordt gemaakt van SSH-privésleutels die op systemen zijn ontdekt. Het creëert een gedetailleerde kaart van een netwerk en zijn afhankelijkheden, en helpt bij het meten van de potentiële compromittering van een netwerk via SSH en SSH-privésleutels die afkomstig zijn van een specifieke host. De tool is ook in staat domeinen met meerdere IPv4-adressen op te lossen.

SSH-Snake repliceert zichzelf en verzamelt gegevens

Beschreven als volledig zelfreplicerend, zichzelf voortplantend en bestandloos, gedraagt SSH-Snake zich als een worm door zich van het ene systeem naar het andere te verspreiden. Sysdig merkte op dat het shellscript niet alleen zijdelingse bewegingen mogelijk maakt, maar ook meer stealth en flexibiliteit biedt vergeleken met typische SSH-wormen.

Bij aanvallen in de echte wereld zetten bedreigingsactoren SSH-Snake in om inloggegevens te verzamelen, IP-adressen te targeten en de opdrachtgeschiedenis te bashen nadat ze een command-and-control-server hebben ontdekt die de gegevens host. Bij deze aanvallen wordt actief misbruik gemaakt van bekende beveiligingskwetsbaarheden in Apache ActiveMQ- en Atlassian Confluence-instanties om initiële toegang te verkrijgen en SSH-Snake te implementeren.

Onderzoekers benadrukten dat SSH-Snake probeert de aanbevolen praktijk van het gebruik van SSH-sleutels te exploiteren, waardoor bedreigingsactoren een slimmere en betrouwbaardere manier krijgen om hun bereik in een netwerk uit te breiden zodra ze voet aan de grond hebben gekregen.

Toen Joshua Rogers, de ontwikkelaar van de tool, werd gevraagd naar SSH-Snake, beweerde hij dat de tool legitieme systeemeigenaren in staat stelt kwetsbaarheden in hun infrastructuur te identificeren voordat aanvallers dat doen. Rogers moedigde bedrijven aan om SSH-Snake te gebruiken om bestaande aanvalspaden te ontdekken en deze proactief aan te pakken. Hij verzette zich tegen de algemene opvatting dat cyberterrorisme plotseling optreedt en pleitte voor een proactieve benadering van systeemontwerp en -onderhoud met uitgebreide beveiligingsmaatregelen.