Ένας παράγοντας απειλής χρησιμοποιεί ένα εργαλείο χαρτογράφησης δικτύου ανοιχτού κώδικα που ονομάζεται SSH-Snake για να αναζητήσει ιδιω
τι
κά κλειδιά που δεν έχουν εντοπιστεί και να μετακινηθεί πλευρικά στην υποδομή
του
θύματος.
Το SSH-Snake ανακαλύφθηκε από την Sysdig Threat Research Team (TRT), η οποία το περιγράφει ως ένα «αυτοτροποποιούμενο worm» που ξεχωρίζει από τα παραδοσιακά σκουλήκια SSH αποφεύγοντας τα μοτίβα που συνήθως σχετίζονται με επιθέσεις με σενάριο.
Το worm αναζητά ιδιωτικά κλειδιά σε διάφορες τοποθεσίες, συμπεριλαμβανομένων των αρχείων ιστορικού κελύφους, και τα χρησιμοποιεί για να εξαπλωθεί κρυφά σε νέα συστήματα μετά την αντιστοίχιση του δικτύου.
SSH-Snake είναι
διαθέσιμος
ως στοιχείο ανοιχτού κώδικα για αυτοματοποιημένη διέλευση δικτύου που βασίζεται σε SSH, το οποίο μπορεί να ξεκινήσει από ένα σύστημα και να δείχνει τη σχέση με άλλους κεντρικούς υπολογιστές που συνδέονται μέσω SSH.
Ωστόσο, ερευνητές της Sysdig,
μι
α εταιρεία ασφάλειας
cloud
, λένε ότι το SSH-Snake μεταφέρει την τυπική ιδέα της πλευρικής κίνησης σε ένα
νέο
επίπεδο, επειδή είναι πιο αυστηρή στην αναζήτηση ιδιωτικών κλειδιών.
Sysdig
Κυκλοφόρησε στις 4 Ιανουαρίου 2024, το SSH-Snake είναι ένα σενάριο bash shell που έχει ως αποστολή να αναζητά αυτόνομα ένα σύστημα που έχει παραβιαστεί για διαπιστευτήρια SSH και να τα χρησιμοποιεί για διάδοση.
Το σενάριο SSH-Snake
(Sysdig)
Οι ερευνητές λένε ότι μια ιδιαιτερότητα του SSH-Snake είναι η ικανότητα να τροποποιείται και να γίνεται μικρότερος όταν τρέχει για πρώτη φορά. Αυτό το κάνει αφαιρώντας σχόλια, περιττές λειτουργίες και κενό διάστημα από τον κώδικά του.
Σχεδιασμένο για ευελιξία, το SSH-Snake είναι plug-and-play, αλλά επιτρέπει την προσαρμογή για συγκεκριμένες λειτουργικές ανάγκες, συμπεριλαμβανομένης της προσαρμογής στρατηγικών για την ανακάλυψη ιδιωτικών κλειδιών και τον εντοπισμό της πιθανής χρήσης τους.
Το SSH-Snake χρησιμοποιεί διάφορες άμεσες και έμμεσες μεθόδους για την ανακάλυψη ιδιωτικών κλειδιών σε παραβιασμένα συστήματα, όπως:
- Αναζήτηση μέσω κοινών καταλόγων και αρχείων όπου συνήθως αποθηκεύονται τα κλειδιά και τα διαπιστευτήρια SSH, συμπεριλαμβανομένων των καταλόγων .ssh, των αρχείων διαμόρφωσης και άλλων τοποθεσιών.
- Εξέταση αρχείων ιστορικού φλοιού (π.χ. .bash_history, .zsh_history) για εύρεση εντολών (ssh, scp και rsync) που μπορεί να έχουν χρησιμοποιήσει ή να αναφέρουν ιδιωτικά κλειδιά SSH.
- Χρησιμοποιώντας τη δυνατότητα “find_from_bash_history” για την ανάλυση του ιστορικού bash για εντολές που σχετίζονται με λειτουργίες SSH, SCP και Rsync, οι οποίες μπορούν να αποκαλύψουν άμεσες αναφορές σε ιδιωτικά κλειδιά, τις τοποθεσίες τους και τα σχετικά διαπιστευτήρια.
- Εξέταση αρχείων καταγραφής συστήματος και κρυφής μνήμης δικτύου (πίνακες ARP) για τον εντοπισμό πιθανών στόχων και τη συλλογή πληροφοριών που μπορεί έμμεσα να οδηγήσουν στην ανακάλυψη ιδιωτικών κλειδιών και πού μπορούν να χρησιμοποιηθούν.
Αναζήτηση για κλειδιά SSH
(Sysdig)
Οι αναλυτές της Sysdig επιβεβαίωσαν την επιχειρησιακή κατάσταση του SSH-Snake αφού ανακάλυψαν έναν διακομιστή εντολών και ελέγχου (C2) που χρησιμοποιείται από τους χειριστές του για την αποθήκευση δεδομένων που συλλέγονται από το σκουλήκι, συμπεριλαμβανομένων των διαπιστευτηρίων και των διευθύνσεων IP των θυμάτων.
Αυτά τα δεδομένα δείχνουν σημάδια ενεργητικής εκμετάλλευσης γνωστών τρωτών σημείων Confluence (και πιθανώς άλλων ελαττωμάτων) για την αρχική πρόσβαση, που οδηγεί στην ανάπτυξη του τύπου worm σε αυτά τα τελικά σημεία.
Εκτεθειμένα περιουσιακά στοιχεία του επιτιθέμενου
(Sysdig)
Σύμφωνα με τους ερευνητές, το εργαλείο έχει χρησιμοποιηθεί επιθετικά σε περίπου 100 θύματα.
Η Sysdig βλέπει το SSH-Snake ως “ένα εξελικτικό βήμα” όσον αφορά το κακόβουλο λογισμικό, επειδή στοχεύει σε μια μέθοδο ασφαλούς σύνδεσης που χρησιμοποιείται ευρέως σε εταιρικά περιβάλλοντα.
VIA:
bleepingcomputer.com
