Worm SSH-Snake criado a partir de ferramenta legítima de código aberto

Uma ferramenta recentemente aberta para mapeamento de rede conhecida como SSH-Snake foi reaproveitada por atores mal-intencionados para fins ilícitos. Os pesquisadores da Sysdig revelaram que o SSH-Snake, identificado como um worm automodificável, explora credenciais SSH encontradas em sistemas comprometidos para se propagar pela rede. O worm verifica autonomamente locais de credenciais conhecidos e arquivos de histórico do shell para determinar suas próximas ações.

Lançado no GitHub no início de janeiro de 2024, o SSH-Snake é caracterizado por seu desenvolvedor como uma ferramenta potente para travessia automática de rede, utilizando chaves privadas SSH descobertas em sistemas. Ele cria um mapa detalhado de uma rede e suas dependências, auxiliando na avaliação do comprometimento potencial de uma rede por meio de SSH e chaves privadas SSH originadas de um host específico. A ferramenta também é capaz de resolver domínios com vários endereços IPv4.

SSH-Snake se auto-replica e colhe dados

Descrito como totalmente auto-replicante, auto-propagável e sem arquivo, o SSH-Snake se comporta como um worm, espalhando-se de um sistema para outro. Sysdig observou que o shell script não apenas facilita o movimento lateral, mas também fornece mais furtividade e flexibilidade em comparação com worms SSH típicos.

Em ataques do mundo real, os agentes de ameaças implantam o SSH-Snake para coletar credenciais, direcionar endereços IP e histórico de comandos bash após descobrirem um servidor de comando e controle que hospeda os dados. Esses ataques envolvem a exploração ativa de vulnerabilidades de segurança conhecidas nas instâncias Apache ActiveMQ e Atlassian Confluence para obter acesso inicial e implantar SSH-Snake.

Os pesquisadores enfatizaram que o SSH-Snake tenta explorar a prática recomendada de uso de chaves SSH, fornecendo aos agentes de ameaças um meio mais inteligente e confiável para estender seu alcance em uma rede, uma vez que estabeleçam uma posição segura.

Quando questionado sobre o SSH-Snake, Joshua Rogers, o desenvolvedor da ferramenta, afirmou que a ferramenta permite que proprietários legítimos de sistemas identifiquem vulnerabilidades em sua infraestrutura antes que os invasores o façam. Rogers incentivou as empresas a usar o SSH-Snake para descobrir caminhos de ataque existentes e abordá-los de forma proativa. Argumentou contra a crença comum de que o terrorismo cibernético ocorre subitamente, defendendo uma abordagem proactiva à concepção e manutenção de sistemas com medidas de segurança abrangentes.