ClickCease Un nouvel outil ressemblant au ver SSH-Snake menace la sécurité des réseaux

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Un nouvel outil ressemblant au ver SSH-Snake menace la sécurité des réseaux

Rohan Timalsina

Le 7 mars 2024 - L'équipe d'experts de TuxCare

L'équipe de recherche sur les menaces (TRT) de Sysdig a découvert qu'un acteur de la menace exploite un outil de cartographie de réseau open-source appelé SSH-Snake pour des activités malveillantes. Cet outil utilise les identifiants SSH trouvés sur les systèmes compromis pour se propager sur les réseaux.

Publié le 4 janvier 2024, SSH-Snake est un script shell bash conçu pour rechercher de manière autonome des informations d'identification SSH dans des systèmes piratés et les utiliser pour la propagation. L'une de ses caractéristiques notables est sa capacité à s'auto-modifier et à réduire sa taille lors de l'exécution initiale, en supprimant les commentaires, les fonctions redondantes et les espaces blancs de son code.

 

SSH-Snake à la recherche de clés privées

 

Après une intrusion, les attaquants emploient souvent une stratégie commune : le déplacement latéral, qui consiste à rechercher d'autres cibles au sein du système. SSH-Snake pousse ce mouvement latéral à son paroxysme en recherchant méticuleusement des clés privées. Ce ver auto-modifiant est plus efficace et plus performant que les vers SSH normaux car il évite les caractéristiques facilement reconnaissables dans les attaques scénarisées et offre à la place une meilleure furtivité, une plus grande flexibilité, une meilleure configurabilité et une découverte approfondie des informations d'identification.

Le ver est conçu pour trouver des clés SSH à différents endroits, y compris dans les fichiers d'historique du shell, créant ainsi une carte d'un réseau et de ses dépendances. Après avoir cartographié le réseau, il détermine les vulnérabilités potentielles exploitables via SSH et les clés privées SSH d'un hôte spécifique.

Utilisant une myriade de méthodes directes et indirectes, SSH-Snake trouve des clés privées sur des systèmes compromis :

  • Recherche de répertoires et de fichiers communs dans lesquels les clés et les informations d'identification SSH sont généralement stockées, tels que les répertoires .ssh et les fichiers de configuration.
  • Analyse des fichiers d'historique de l'interpréteur de commandes (par exemple, .bash_history, .zsh_history) pour identifier les commandes (ssh, scp, rsync) faisant référence aux clés privées SSH.
  • Utilisation de la fonction 'find_from_bash_history' pour analyser l'historique de bash à la recherche de commandes liées à SSH, ce qui permet de découvrir des références directes aux clés privées et aux informations d'identification associées.
  • L'analyse des journaux système et du cache réseau (tables ARP) afin d'identifier les cibles potentielles et de recueillir des informations permettant de découvrir des clés privées.

 

Conclusion

 

SSH-Snake exploite les clés SSH pour se propager sur les réseaux et sa nature sans fichier le rend difficile à détecter. Selon les chercheurs, il a été utilisé de manière offensive contre une centaine de victimes. La découverte de l'utilisation malveillante de SSH-Snake témoigne d'une "étape évolutive" dans le développement de logiciels malveillants, ciblant une méthode de connexion sécurisée largement répandue dans les environnements d'entreprise. Pour identifier de telles attaques, des outils de détection des menaces en cours d'exécution tels que Sysdig Secure ou Open Source Falco peuvent être utilisés.

Découvrez comment les attaquants ciblent les serveurs SSH Linux mal sécurisés.

 

Les sources de cet article comprennent un article de BleepingComputer.

Résumé
Un nouvel outil ressemblant au ver SSH-Snake menace la sécurité des réseaux
Nom de l'article
Un nouvel outil ressemblant au ver SSH-Snake menace la sécurité des réseaux
Description
Découvrez la menace furtive de SSH-Snake, un ver auto-modifiant découvert par Sysdig TRT, qui cible les clés privées pour les déplacer latéralement.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information