由开源合法工具构建的 SSH-Snake Worm

一种名为 SSH-Snake 的新开源网络映射工具已被恶意行为者用于非法目的。 Sysdig 研究人员透露，SSH-Snake 被识别为一种自我修改蠕虫，它利用在受感染系统上发现的 SSH 凭据在网络中传播自身。该蠕虫会自动扫描众所周知的凭据位置和 shell 历史文件，以确定其下一步操作。

SSH-Snake 于 2024 年 1 月上旬在 GitHub 上发布，其开发人员将其描述为利用系统上发现的 SSH 私钥进行自动网络遍历的强大工具。它创建网络及其依赖关系的详细映射，帮助衡量通过源自特定主机的 SSH 和 SSH 私钥对网络造成的潜在危害。该工具还能够解析具有多个 IPv4 地址的域。

SSH-Snake 自我复制，收获数据

SSH-Snake 被描述为完全自我复制、自我传播和无文件，它的行为就像蠕虫一样，从一个系统传播到另一个系统。 Sysdig 指出，与典型的 SSH 蠕虫相比，shell 脚本不仅有利于横向移动，而且还提供了更多的隐蔽性和灵活性。

在现实世界的攻击中，威胁参与者在发现托管数据的命令和控制服务器后，会部署 SSH-Snake 来获取凭据、目标 IP 地址和 bash 命令历史记录。这些攻击涉及主动利用 Apache ActiveMQ 和 Atlassian Confluence 实例中的已知安全漏洞来获取初始访问权限并部署 SSH-Snake。

研究人员强调，SSH-Snake 试图利用建议的使用 SSH 密钥的做法，为威胁行为者提供更智能、更可靠的手段，以便在他们建立立足点后将其影响范围扩展到网络。

当被问及 SSH-Snake 时，该工具的开发人员 Joshua Rogers 断言，该工具允许合法系统所有者在攻击者之前识别其基础设施中的漏洞。 Rogers 鼓励公司使用 SSH-Snake 来发现现有的攻击路径并主动解决它们。他反对网络恐怖主义突然发生的普遍看法，主张采取积极主动的方式进行系统设计和维护，并采取全面的安全措施。