Um ator de ameaça está usando uma ferramenta de mapeamento de rede de código aberto chamada SSH-Snake para procurar chaves privadas de forma indetectável e mover-se lateralmente na infraestrutura da vítima.
O SSH-Snake foi descoberto pela Equipe de Pesquisa de Ameaças da Sysdig (TRT), que o descreve como uma "worm automodificável" que se destaca das worm SSH tradicionais ao evitar os padrões geralmente associados a ataques com scripts.
O worm procura chaves privadas em vários locais, incluindo arquivos de histórico de shell, e as utiliza para se espalhar furtivamente para novos sistemas após mapear a rede.
O SSH-Snake está disponível como um ativo de código aberto para travessia automatizada de rede baseada em SSH, que pode começar a partir de um sistema e mostrar a relação com outros hosts conectados através do SSH.
No entanto, pesquisadores da Sysdig, uma empresa de segurança na nuvem, dizem que o SSH-Snake leva o conceito de movimento lateral típico a um novo nível, pois é mais rigoroso em sua busca por chaves privadas.
Lançado em 4 de janeiro de 2024, o SSH-Snake é um script de shell bash encarregado de procurar autonomamente um sistema violado por credenciais SSH e utilizá-las para propagação.
Os pesquisadores dizem que uma particularidade do SSH-Snake é a capacidade de se modificar e se tornar menor quando executado pela primeira vez.
Ele faz isso removendo comentários, funções desnecessárias e espaços em branco de seu código.
Projetado para versatilidade, o SSH-Snake é plug-and-play, mas permite personalização para necessidades operacionais específicas, incluindo a adaptação de estratégias para descobrir chaves privadas e identificar seu uso potencial.
O SSH-Snake emprega vários métodos diretos e indiretos para descobrir chaves privadas em sistemas comprometidos, incluindo:
Procurar através de diretórios e arquivos comuns onde as chaves e credenciais SSH normalmente são armazenadas, incluindo diretórios .ssh, arquivos de configuração e outros locais.
Examinar arquivos de histórico de shell (por exemplo, .bash_history, .zsh_history) para encontrar comandos (ssh, scp e rsync) que podem ter usado ou referenciado chaves privadas SSH.
Usando o recurso 'find_from_bash_history' para analisar o histórico bash por comandos relacionados ao SSH, SCP, e operações de Rsync, o que pode revelar referências diretas a chaves privadas, seus locais e credenciais associadas.
Examinando logs do sistema e cache de rede (tabelas ARP) para identificar alvos potenciais e coletar informações que podem levar indiretamente à descoberta de chaves privadas e onde elas podem ser usadas.
Os analistas da Sysdig confirmaram o status operacional do SSH-Snake após descobrir um servidor de comando e controle (C2) usado por seus operadores para armazenar dados colhidos pelo worm, incluindo credenciais e endereços IP das vítimas.
Esses dados mostram sinais de exploração ativa de vulnerabilidades conhecidas do Confluence (e possivelmente outros defeitos) para acesso inicial, levando à implantação do worm nesses endpoints.
Segundo os pesquisadores, a ferramenta foi usada ofensivamente em cerca de 100 vítimas.
A Sysdig vê o SSH-Snake como "um passo evolutivo" no que diz respeito a malware, pois ele ataca um método de conexão segura amplamente utilizado em ambientes corporativos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...