CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Un nou malware SSH-Snake folosește cheile SSH pentru a se răspândi în rețea

Sursa: https://unsplash.com/

Un atacator utilizeaza un instrument de mapare a retelei open-source numit SSH-Snake cu scopul de a căuta chei private și pentru a se realiza lateral movement în infrastructura victimei.

SSH-Snake a fost descoperit de echipa de cercetare a amenintarilor de securitate Sysdig (TRT), care il descriu ca fiind un „vierme care se auto-modifică”. SSH-Snake este disponibil ca resursă open-source.

Lansat pe 4 ianuarie 2024, SSH-Snake este un bash shell script care are ca scop căutarea în mod autonom de sisteme vulnerabile și credențiale SSH și utilizarea acestora pentru răspândirea în rețea. O particularitate a SSH-Snake este capacitatea de a se modifica și de a-și micșora dimeniunea atunci când rulează pentru prima dată. Face acest lucru eliminând comentariile, funcțiile nefolositoare și spațiile albe din codul său.

Conceput pentru versatilitate, SSH-Snake este plug-and-play, dar permite personalizarea pentru nevoi operaționale specifice, inclusiv adaptarea strategiilor pentru a descoperi cheile private și a identifica potențialul lor de utilizare. SSH-Snake folosește diverse metode directe și indirecte pentru a descoperi cheile private pe sistemele compromise, inclusiv:

  • Căutarea prin directoare și fișiere comune în care sunt stocate în mod obișnuit chei SSH și credențiale, inclusiv directoarele .ssh, fișierele de configurare și alte locații.
  • Examinarea fisierelor de istoric (de ex. .bash_history, .zsh_history).
  • Utilizarea functiei ‘find_from_bash_history’ pentru a parsa istoricul bash pentru comenzi legate de operatiunile SSH, SCP si Rsync, care pot descoperi referinte directe către chei private, locațiile si credentialele asociate.
  • Examinarea jurnalelor sistemului si a tabelelor ARP pentru a identifica potentialele tinte si a aduna informatii care ar putea duce indirect la descoperirea cheilor private si la locurile unde pot fi utilizate.

Analistii Sysdig au confirmat starea operatională a SSH-Snake după descoperirea unui server de comandă și control (C2) folosit pentru a stoca datele obținute de malware, inclusiv credențiale și adrese IP ale victimelor. Astfel este demonstrată exploatarea activă a vulnerabilitatilor cunoscute ale Confluence (și posibil și alte vulnerabilități) pentru accesul inițial, care duce la implementarea malware-ului pe acele terminale.

Sursa: https://www.bleepingcomputer.com/news/security/new-ssh-snake-malware-steals-ssh-keys-to-spread-across-the-network/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |