由開源合法工具建構的 SSH-Snake Worm

一種名為 SSH-Snake 的新開源網路投影工具已被惡意行為者用於非法目的。 Sysdig 研究人員透露，SSH-Snake 被識別為一種自我修改蠕蟲，它利用在受感染系統上發現的 SSH 憑證在網路中傳播自身。該蠕蟲會自動掃描眾所周知的憑證位置和 shell 歷史文件，以確定其下一步操作。

SSH-Snake 於 2024 年 1 月初在 GitHub 上發布，其開發人員將其描述為利用系統上發現的 SSH 私鑰進行自動網路遍歷的強大工具。它創建網路及其依賴關係的詳細映射，幫助衡量透過源自特定主機的 SSH 和 SSH 私鑰對網路造成的潛在危害。該工具還能夠解析具有多個 IPv4 位址的網域。

SSH-Snake 自我複製，收穫數據

SSH-Snake 被描述為完全自我複製、自我傳播和無文件，它的行為就像蠕蟲一樣，從一個系統傳播到另一個系統。 Sysdig 指出，與典型的 SSH 蠕蟲相比，shell 腳本不僅有利於橫向移動，而且還提供了更多的隱藏性和靈活性。

在現實世界的攻擊中，威脅參與者在發現託管資料的命令和控制伺服器後，會部署 SSH-Snake 來取得憑證、目標 IP 位址和 bash 命令歷史記錄。這些攻擊涉及主動利用 Apache ActiveMQ 和 Atlassian Confluence 實例中的已知安全漏洞來取得初始存取權並部署 SSH-Snake。

研究人員強調，SSH-Snake 試圖利用建議的使用 SSH 金鑰的做法，為威脅行為者提供更聰明、更可靠的手段，以便在他們建立立足點後將其影響範圍擴展到網路。

當被問及 SSH-Snake 時，該工具的開發人員 Joshua Rogers 斷言，該工具允許合法系統所有者在攻擊者之前識別其基礎設施中的漏洞。 Rogers 鼓勵公司使用 SSH-Snake 來發現現有的攻擊路徑並主動解決它們。他反對網路恐怖主義突然發生的普遍看法，主張採取積極主動的方式進行系統設計和維護，並採取全面的安全措施。