Червь SSH-Snake, созданный на основе законного инструмента с открытым исходным кодом

Недавно выпущенный инструмент для картирования сети с открытым исходным кодом, известный как SSH-Snake, был перепрофилирован злоумышленниками в незаконных целях. Исследователи Sysdig обнаружили, что SSH-Snake, идентифицированный как самомодифицирующийся червь, использует учетные данные SSH, обнаруженные на скомпрометированных системах, для распространения по сети. Червь автономно сканирует известные местоположения учетных данных и файлы истории оболочки, чтобы определить свои дальнейшие действия.

Выпущенный на GitHub в начале января 2024 года, SSH-Snake характеризуется разработчиком как мощный инструмент для автоматического обхода сети с использованием закрытых ключей SSH, обнаруженных в системах. Он создает подробную карту сети и ее зависимостей, помогая оценить потенциальный риск компрометации сети с помощью SSH и закрытых ключей SSH, исходящих от конкретного хоста. Инструмент также способен разрешать домены с несколькими адресами IPv4.

SSH-Snake самовоспроизводится и собирает данные

Описываемый как полностью самовоспроизводящийся, самораспространяющийся и не имеющий файлов, SSH-Snake ведет себя как червь, распространяясь из одной системы в другую. Sysdig отметил, что сценарий оболочки не только облегчает боковое перемещение, но также обеспечивает большую скрытность и гибкость по сравнению с типичными червями SSH.

В реальных атаках злоумышленники используют SSH-Snake для сбора учетных данных, целевых IP-адресов и истории команд bash после обнаружения сервера управления и контроля, на котором размещены данные. Эти атаки включают активное использование известных уязвимостей безопасности в экземплярах Apache ActiveMQ и Atlassian Confluence для получения первоначального доступа и развертывания SSH-Snake.

Исследователи подчеркнули, что SSH-Snake пытается использовать рекомендуемую практику использования ключей SSH, предоставляя злоумышленникам более умные и надежные средства для расширения своего доступа в сеть после того, как они закрепятся.

Отвечая на вопрос о SSH-Snake, Джошуа Роджерс, разработчик инструмента, заявил, что этот инструмент позволяет законным владельцам систем выявлять уязвимости в своей инфраструктуре до того, как это сделают злоумышленники. Роджерс призвал компании использовать SSH-Snake для обнаружения существующих путей атак и их превентивного устранения. Он выступил против распространенного мнения о том, что кибертерроризм возникает внезапно, выступая за упреждающий подход к проектированию и обслуживанию систем с использованием комплексных мер безопасности.