Robak SSH-Snake zbudowany na podstawie legalnego narzędzia typu open source

Nowo udostępnione narzędzie do mapowania sieci, znane jako SSH-Snake, zostało wykorzystane przez złośliwe podmioty do nielegalnych celów. Badacze Sysdig ujawnili, że SSH-Snake, zidentyfikowany jako samomodyfikujący się robak, wykorzystuje dane uwierzytelniające SSH znalezione w zaatakowanych systemach, aby rozprzestrzeniać się w sieci. Robak autonomicznie skanuje dobrze znane lokalizacje poświadczeń i pliki historii powłoki, aby określić swoje kolejne działania.

Wydany na GitHub na początku stycznia 2024 r. protokół SSH-Snake został scharakteryzowany przez jego twórcę jako potężne narzędzie do automatycznego poruszania się po sieci, wykorzystujące klucze prywatne SSH wykryte w systemach. Tworzy szczegółową mapę sieci i jej zależności, pomagając w ocenie potencjalnego zagrożenia sieci za pośrednictwem SSH i kluczy prywatnych SSH pochodzących od określonego hosta. Narzędzie jest również w stanie rozpoznawać domeny z wieloma adresami IPv4.

SSH-Snake replikuje się samoczynnie i zbiera dane

Opisywany jako całkowicie samoreplikujący się, samoreplikujący się i bezplikowy, SSH-Snake zachowuje się jak robak, rozprzestrzeniając się z jednego systemu do drugiego. Sysdig zauważył, że skrypt powłoki nie tylko ułatwia ruch boczny, ale także zapewnia większą dyskrecję i elastyczność w porównaniu z typowymi robakami SSH.

W rzeczywistych atakach ugrupowania zagrażające wdrażają protokół SSH-Snake w celu gromadzenia danych uwierzytelniających, docelowych adresów IP i historii poleceń bash po wykryciu serwera dowodzenia i kontroli hostującego dane. Ataki te obejmują aktywne wykorzystywanie znanych luk w zabezpieczeniach instancji Apache ActiveMQ i Atlassian Confluence w celu uzyskania początkowego dostępu i wdrożenia protokołu SSH-Snake.

Badacze podkreślili, że SSH-Snake próbuje wykorzystać zalecaną praktykę używania kluczy SSH, zapewniając cyberprzestępcom mądrzejsze i bardziej niezawodne sposoby rozszerzenia ich zasięgu na sieć po zadomowieniu się.

Zapytany o SSH-Snake, Joshua Rogers, twórca narzędzia, zapewnił, że narzędzie to pozwala legalnym właścicielom systemów identyfikować luki w ich infrastrukturze, zanim zrobią to atakujący. Rogers zachęcał firmy do korzystania z protokołu SSH-Snake w celu odkrywania istniejących ścieżek ataków i proaktywnego reagowania na nie. Opowiadał się przeciwko powszechnemu przekonaniu, że cyberterroryzm pojawia się nagle, opowiadając się za proaktywnym podejściem do projektowania i utrzymania systemów wraz z kompleksowymi środkami bezpieczeństwa.