ClickCease Una nueva herramienta similar al gusano SSH-Snake amenaza la seguridad de la red

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Una nueva herramienta similar al gusano SSH-Snake amenaza la seguridad de la red

por Rohan Timalsina

7 de marzo de 2024 - Equipo de expertos TuxCare

El Equipo de Investigación de Amenazas de Sysdig (TRT) descubrió que un actor de amenazas está aprovechando una herramienta de mapeo de red de código abierto llamada SSH-Snake para actividades maliciosas. Esta herramienta utiliza las credenciales SSH encontradas en los sistemas comprometidos para propagarse a través de las redes.

Publicado el 4 de enero de 2024, SSH-Snake es un script de shell bash diseñado para buscar de forma autónoma credenciales SSH en sistemas infectados y aprovecharlas para su propagación. Una de sus características más destacadas es su capacidad de automodificación y reducción de tamaño durante la ejecución inicial, lo que se consigue eliminando comentarios, funciones redundantes y espacios en blanco de su código.

 

SSH-Snake busca claves privadas

 

Tras una intrusión, los atacantes suelen emplear una estrategia común: el movimiento lateral, en el que buscan objetivos adicionales dentro del sistema. SSH-Snake lleva este movimiento lateral al siguiente nivel mediante la búsqueda meticulosa de claves privadas. Este gusano automodificable es más eficaz y exitoso que los gusanos SSH normales porque evita las características que se reconocen fácilmente en los ataques con scripts y, en su lugar, ofrece mejor sigilo, flexibilidad, configurabilidad y descubrimiento exhaustivo de credenciales.

El gusano está diseñado para encontrar claves SSH en varias ubicaciones, incluidos los archivos del historial del shell, creando un mapa de una red y sus dependencias. Tras mapear la red, determina las posibles vulnerabilidades explotables a través de SSH y las claves privadas SSH de un host específico.

Empleando una miríada de métodos directos e indirectos, SSH-Snake encuentra claves privadas en sistemas comprometidos por:

  • Búsqueda de directorios y archivos comunes donde se suelen almacenar las claves y credenciales SSH, como los directorios .ssh y los archivos de configuración.
  • Análisis de archivos de historial de shell (por ejemplo, .bash_history, .zsh_history) para identificar comandos (ssh, scp, rsync) que hacen referencia a claves privadas SSH.
  • Utilizar la función 'find_from_bash_history' para analizar el historial de bash en busca de comandos relacionados con SSH, descubriendo referencias directas a claves privadas y credenciales asociadas.
  • Analizar los registros del sistema y la caché de red (tablas ARP) para localizar objetivos potenciales y recopilar información que permita descubrir claves privadas.

 

Conclusión

 

SSH-Snake aprovecha las claves SSH para propagarse por las redes y su naturaleza sin archivos dificulta su detección. Según los investigadores, se ha empleado ofensivamente contra unas 100 víctimas. El descubrimiento de la utilización maliciosa de SSH-Snake muestra un "paso evolutivo" en el desarrollo de malware, dirigido a un método de conexión segura ampliamente utilizado y frecuente en entornos empresariales. Para identificar este tipo de ataques, pueden emplearse herramientas de detección de amenazas en tiempo de ejecución como Sysdig Secure u Open Source Falco.

Descubra cómo los atacantes atacan a los servidores SSH Linux mal protegidos.

 

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen
Una nueva herramienta similar al gusano SSH-Snake amenaza la seguridad de la red
Nombre del artículo
Una nueva herramienta similar al gusano SSH-Snake amenaza la seguridad de la red
Descripción
Descubra la sigilosa amenaza de SSH-Snake, un gusano que se modifica a sí mismo descubierto por Sysdig TRT, cuyo objetivo son las claves privadas para el movimiento lateral.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín