네트워크 보안을 위협하는 새로운 SSH-스네이크 웜 유사 도구
시스디그 위협 연구팀(TRT) 은 위협 행위자가 SSH-Snake라는 오픈 소스 네트워크 매핑 도구를 악의적인 활동에 활용하고 있다는 사실을 발견했습니다. 이 도구는 감염된 시스템에서 발견한 SSH 자격 증명을 사용하여 네트워크 전반으로 자신을 전파합니다.
2024년 1월 4일에 출시된 SSH-Snake는 침해된 시스템에서 SSH 자격 증명을 자율적으로 검색하고 이를 전파에 활용하도록 설계된 배쉬 셸 스크립트입니다. 이 스크립트의 주목할 만한 기능 중 하나는 코드에서 주석, 중복 기능 및 공백을 제거하여 초기 실행 중에 자체 수정 및 크기 축소가 가능하다는 점입니다.
개인 키에 대한 SSH-스네이크 헌팅
침입 후 공격자는 종종 시스템 내에서 추가 대상을 찾는 측면 이동이라는 일반적인 전략을 사용합니다. SSH-Snake는 이러한 측면 이동을 한 단계 더 발전시켜 개인 키를 꼼꼼하게 사냥합니다. 이 자체 수정 웜은 스크립트 공격에서 쉽게 인식되는 특성을 피하고 대신 더 나은 은폐성, 유연성, 구성 가능성 및 철저한 자격 증명 검색을 제공하므로 일반 SSH 웜보다 더 효과적이고 성공적입니다.
이 웜은 셸 기록 파일을 포함한 다양한 위치에서 SSH 키를 찾아 네트워크와 종속성 맵을 생성하도록 설계되었습니다. 네트워크를 매핑한 후에는 특정 호스트의 SSH 및 SSH 개인 키를 통해 악용할 수 있는 잠재적 취약점을 파악합니다.
SSH-Snake는 수많은 직간접적인 방법을 사용하여 손상된 시스템에서 다음과 같은 방법으로 개인 키를 찾습니다:
- .ssh 디렉터리 및 구성 파일 등 일반적으로 SSH 키와 자격 증명이 저장되는 일반적인 디렉터리 및 파일을 검색합니다.
- 셸 기록 파일(예: .bash_history, .zsh_history)을 구문 분석하여 SSH 개인 키를 참조하는 명령(ssh, scp, rsync)을 식별합니다.
- 'find_from_bash_history' 기능을 활용하여 SSH 관련 명령의 배시 기록을 파싱하여 개인 키 및 관련 자격 증명에 대한 직접 참조를 찾아냅니다.
- 시스템 로그와 네트워크 캐시(ARP 테이블)를 분석하여 잠재적인 대상을 정확히 찾아내고 개인키 발견으로 이어지는 정보를 수집합니다.
결론
SSH-Snake는 SSH 키를 활용하여 네트워크를 통해 확산되며, 파일 없는 특성으로 인해 탐지하기가 어렵습니다. 연구자들에 따르면 이 공격은 약 100명의 피해자를 대상으로 공격적으로 사용되었다고 합니다. SSH-Snake의 악의적인 활용이 발견된 것은 기업 환경에서 널리 사용되는 보안 연결 방법을 노리는 멀웨어 개발의 '진화 단계'를 보여줍니다. 이러한 공격을 식별하기 위해 Sysdig Secure 또는 오픈 소스 Falco와 같은 런타임 위협 탐지 도구를 사용할 수 있습니다.
공격자들이 보안이 취약한 Linux SSH 서버를 어떻게 표적으로 삼는지 알아보세요.
이 글의 출처는 BleepingComputer의 기사입니다.