O novo malware SSH-Snake rouba chaves SSH para se espalhar pela rede
22 de Fevereiro de 2024

Um ator de ameaça está usando uma ferramenta de mapeamento de rede de código aberto chamada SSH-Snake para procurar chaves privadas de forma indetectável e mover-se lateralmente na infraestrutura da vítima.

O SSH-Snake foi descoberto pela Equipe de Pesquisa de Ameaças da Sysdig (TRT), que o descreve como uma "worm automodificável" que se destaca das worm SSH tradicionais ao evitar os padrões geralmente associados a ataques com scripts.

O worm procura chaves privadas em vários locais, incluindo arquivos de histórico de shell, e as utiliza para se espalhar furtivamente para novos sistemas após mapear a rede.

O SSH-Snake está disponível como um ativo de código aberto para travessia automatizada de rede baseada em SSH, que pode começar a partir de um sistema e mostrar a relação com outros hosts conectados através do SSH.

No entanto, pesquisadores da Sysdig, uma empresa de segurança na nuvem, dizem que o SSH-Snake leva o conceito de movimento lateral típico a um novo nível, pois é mais rigoroso em sua busca por chaves privadas.

Lançado em 4 de janeiro de 2024, o SSH-Snake é um script de shell bash encarregado de procurar autonomamente um sistema violado por credenciais SSH e utilizá-las para propagação.

Os pesquisadores dizem que uma particularidade do SSH-Snake é a capacidade de se modificar e se tornar menor quando executado pela primeira vez.

Ele faz isso removendo comentários, funções desnecessárias e espaços em branco de seu código.

Projetado para versatilidade, o SSH-Snake é plug-and-play, mas permite personalização para necessidades operacionais específicas, incluindo a adaptação de estratégias para descobrir chaves privadas e identificar seu uso potencial.

O SSH-Snake emprega vários métodos diretos e indiretos para descobrir chaves privadas em sistemas comprometidos, incluindo:

Procurar através de diretórios e arquivos comuns onde as chaves e credenciais SSH normalmente são armazenadas, incluindo diretórios .ssh, arquivos de configuração e outros locais.

Examinar arquivos de histórico de shell (por exemplo, .bash_history, .zsh_history) para encontrar comandos (ssh, scp e rsync) que podem ter usado ou referenciado chaves privadas SSH.

Usando o recurso 'find_from_bash_history' para analisar o histórico bash por comandos relacionados ao SSH, SCP, e operações de Rsync, o que pode revelar referências diretas a chaves privadas, seus locais e credenciais associadas.

Examinando logs do sistema e cache de rede (tabelas ARP) para identificar alvos potenciais e coletar informações que podem levar indiretamente à descoberta de chaves privadas e onde elas podem ser usadas.

Os analistas da Sysdig confirmaram o status operacional do SSH-Snake após descobrir um servidor de comando e controle (C2) usado por seus operadores para armazenar dados colhidos pelo worm, incluindo credenciais e endereços IP das vítimas.

Esses dados mostram sinais de exploração ativa de vulnerabilidades conhecidas do Confluence (e possivelmente outros defeitos) para acesso inicial, levando à implantação do worm nesses endpoints.

Segundo os pesquisadores, a ferramenta foi usada ofensivamente em cerca de 100 vítimas.

A Sysdig vê o SSH-Snake como "um passo evolutivo" no que diz respeito a malware, pois ele ataca um método de conexão segura amplamente utilizado em ambientes corporativos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...