Neues SSH-Snake Wurm-ähnliches Tool bedroht Netzwerksicherheit
Das Sysdig Threat Research Team (TRT) entdeckte, dass ein Bedrohungsakteur ein Open-Source-Netzwerk-Mapping-Tool namens SSH-Snake für bösartige Aktivitäten nutzt. Dieses Tool nutzt SSH-Anmeldeinformationen, die auf den kompromittierten Systemen gefunden wurden, um sich über Netzwerke zu verbreiten.
SSH-Snake wurde am 4. Januar 2024 veröffentlicht und ist ein Bash-Shell-Skript, das selbstständig nach SSH-Zugangsdaten für angegriffene Systeme sucht und diese für die Weitergabe nutzt. Ein bemerkenswertes Merkmal ist die Fähigkeit zur Selbstmodifikation und Größenreduzierung während der ersten Ausführung, die durch das Entfernen von Kommentaren, redundanten Funktionen und Leerzeichen aus dem Code erreicht wird.
SSH-Snake jagt nach privaten Schlüsseln
Nach einem Eindringen wenden Angreifer oft eine gängige Strategie an: Sie bewegen sich seitlich und suchen nach weiteren Zielen innerhalb des Systems. SSH-Snake hebt diese Seitwärtsbewegung auf die nächste Stufe, indem er akribisch nach privaten Schlüsseln jagt. Dieser sich selbst modifizierende Wurm ist effektiver und erfolgreicher als normale SSH-Würmer, da er die Merkmale vermeidet, die bei skriptgesteuerten Angriffen leicht zu erkennen sind, und stattdessen eine bessere Tarnung, Flexibilität, Konfigurierbarkeit und gründliche Ermittlung von Anmeldeinformationen bietet.
Der Wurm ist so konzipiert, dass er SSH-Schlüssel an verschiedenen Orten findet, einschließlich Shell-Verlaufsdateien, und eine Karte eines Netzwerks und seiner Abhängigkeiten erstellt. Nachdem er das Netzwerk abgebildet hat, ermittelt er potenzielle Schwachstellen, die über SSH und private SSH-Schlüssel von einem bestimmten Host aus ausgenutzt werden können.
SSH-Snake verwendet eine Vielzahl direkter und indirekter Methoden, um private Schlüssel auf kompromittierten Systemen zu finden:
- Durchsuchen gängiger Verzeichnisse und Dateien, in denen SSH-Schlüssel und -Anmeldeinformationen typischerweise gespeichert werden, wie z. B. .ssh-Verzeichnisse und Konfigurationsdateien.
- Analyse von Shell-History-Dateien (z. B. .bash_history, .zsh_history), um Befehle (ssh, scp, rsync) zu identifizieren, die auf private SSH-Schlüssel verweisen.
- Verwendung der Funktion "find_from_bash_history", um die Bash-History nach SSH-bezogenen Befehlen zu durchsuchen und dabei direkte Verweise auf private Schlüssel und zugehörige Anmeldeinformationen aufzudecken.
- Analyse von Systemprotokollen und Netzwerk-Cache (ARP-Tabellen), um potenzielle Ziele zu ermitteln und Informationen zu sammeln, die zur Entdeckung privater Schlüssel führen.
Schlussfolgerung
SSH-Snake nutzt SSH-Schlüssel, um sich über Netzwerke zu verbreiten, und ist aufgrund seiner dateilosen Natur schwer zu entdecken. Den Forschern zufolge wurde sie offensiv gegen etwa 100 Opfer eingesetzt. Die Entdeckung der bösartigen Nutzung von SSH-Snake zeigt einen "evolutionären Schritt" in der Malware-Entwicklung, der auf eine weit verbreitete sichere Verbindungsmethode abzielt, die in Unternehmensumgebungen weit verbreitet ist. Um solche Angriffe zu erkennen, können Laufzeit-Bedrohungserkennungs-Tools wie Sysdig Secure oder Open Source Falco eingesetzt werden.
Entdecken Sie, wie Angreifer schlecht gesicherte Linux-SSH-Server angreifen.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.