Ένας κακόβουλος παράγοντας χρησιμοποιεί ένα εργαλείο χαρτογράφησης δικτύου ανοιχτού κώδικα με την ονομασία SSH-Snake malware, για να αναζητήσει ιδιωτικά κλειδιά SSH και να μετακινηθεί πλευρικά στην υποδομή του θύματος.
Το SSH-Snake ανακαλύφθηκε από την Ομάδα Έρευνας Απειλών της Sysdig (TRT), η οποία το περιγράφει ως ένα “αυτο-τροποποιούμενο worm” που ξεχωρίζει από τα παραδοσιακά SSH worm με το να αποφεύγει τα μοτίβα που συνήθως συνδέονται με επιθέσεις.
Το malware αναζητά ιδιωτικά κλειδιοά σε διάφορες τοποθεσίες, συμπεριλαμβανομένων των αρχείων ιστορικού, και τα χρησιμοποιεί για να εξαπλωθεί σε νέα συστήματα μετά τη χαρτογράφηση του δικτύου.
Το SSH-Snake malware είναι διαθέσιμο ως open-source εργαλείο για αυτοματοποιημένη διάβαση δικτύου βασισμένη σε SSH, η οποία μπορεί να ξεκινήσει από ένα σύστημα και να δείξει τη σχέση του με άλλους υπολογιστές που συνδέονται μέσω SSH.
Ανακάλυψη του SSH-Snake malware
Ωστόσο, οι ερευνητές της Sysdig, μια εταιρεία ασφάλειας στο cloud, αναφέρουν ότι το SSH-Snake φέρνει τον τυπικό έλεγχο πλευρικής κίνησης σε ένα νέο επίπεδο, καθώς είναι πιο αυστηρό στην αναζήτηση ιδιωτικών κλειδιών.
Το SSH-Snake malware, kυκλοφόρησε στις 4 Ιανουαρίου 2024 και είναι ένα bash shell script που αναλαμβάνει αυτόνομα να ψάξει ένα παραβιασμένο σύστημα για διαπιστευτήρια SSH και να τα χρησιμοποιήσει για προώθηση.
Οι ερευνητές αναφέρουν ότι μια ξεχωριστή ιδιαιτερότητα του SSH-Snake malware είναι η δυνατότητά του να τροποποιεί τον εαυτό του και να γίνεται μικρότερο κατά την εκτέλεσή του για πρώτη φορά. Aυτό το πετυχαίνει αφαιρώντας σχόλια, περιττές λειτουργίες και κενό από τον κώδικά του.
Σχεδιασμένο για ευελιξία, το SSH-Snake είναι plug-and-play, επιτρέποντας προσαρμογή σύμφωνα με συγκεκριμένες λειτουργικές ανάγκες, συμπεριλαμβανομένης της προσαρμογής στρατηγικών για την ανακάλυψη ιδιωτικών κλειδιών και την αναγνώριση της δυνητικής τους χρήσης.
Μέθοδοι εντοπισμού κλειδιών SSH
Το SSH-Snake χρησιμοποιεί διάφορες άμεσες και έμμεσες μεθόδους για τον εντοπισμό ιδιωτικών κλειδιών σε συστήματα που έχουν υποστεί παραβίαση:
- Αναζήτηση σε κοινούς φάκελους και αρχεία, όπου συνήθως αποθηκεύονται τα κλειδιά SSH και τα διαπιστευτήρια, συμπεριλαμβανομένων των καταλόγων .ssh, των αρχείων ρύθμισης και άλλων τοποθεσιών.
- Ανάλυση των αρχείων ιστορικού κελύφους (π.χ., .bash_history, .zsh_history) για εντοπισμό εντολών (ssh, scp, και rsync) που ενδέχεται να έχουν χρησιμοποιηθεί ή αναφερθεί σε ιδιωτικά κλειδιά SSH.
- Χρήση του χαρακτηριστικού “find_from_bash_history” για ανάλυση του ιστορικού του bash για εντολές που σχετίζονται με λειτουργίες SSH, SCP και Rsync, μπορεί να ανακαλύψει άμεσες αναφορές σε ιδιωτικά κλειδιά, τις τοποθεσίες τους και τα σχετιζόμενα διαπιστευτήρια.
- Ανάλυση των αρχείων καταγραφής συστήματος και της μνήμης διαμεσολάβησης δικτύου (πίνακες ARP) για την εντοπισμό πιθανών στόχων και τη συγκέντρωση πληροφοριών που θα μπορούσαν να οδηγήσουν έμμεσα στον εντοπισμό ιδιωτικών κλειδιών και τοποθεσίες όπου μπορούν να χρησιμοποιηθούν.
Οι αναλυτές της Sysdig επιβεβαίωσαν τη λειτουργική κατάσταση του SSH-Snake malware μετά τον εντοπισμό ενός διακομιστή C2 που χρησιμοποιούν οι δημιουργοί του για να αποθηκεύσουν δεδομένα που συλλέγονται από το worm, συμπεριλαμβανομένων διαπιστεύσεων και διευθύνσεων IP θυμάτων.
Αυτά τα δεδομένα παρέχουν ενδείξεις ενεργής εκμετάλλευσης γνωστών ευπαθειών του Confluence (και πιθανότατα άλλων ελαττωμάτων) για αρχική πρόσβαση, με αποτέλεσμα την εγκατάσταση του ιού σε αυτά τα σημεία. Σύμφωνα με τους ερευνητές, το εργαλείο χρησιμοποιήθηκε επιθετικά σε περίπου 100 θύματα.
Η Sysdig θεωρεί το SSH-Snake ως “ένα εξελικτικό βήμα” όσον αφορά το malware, καθώς στοχεύει έναν ασφαλή τρόπο σύνδεσης που χρησιμοποιείται ευρέως σε εταιρικά περιβάλλοντα.
Πώς μπορεί να προστατευτεί ένας υπολογιστής από τα worms;
Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατεύσετε τον υπολογιστή σας από τα worms, όπως το SSH-Snake malware, είναι η χρήση ενός αξιόπιστου λογισμικού antivirus. Αυτό το λογισμικό θα πρέπει να ενημερώνεται τακτικά, ώστε να μπορεί να αντιμετωπίσει τις τελευταίες απειλές. Επιπλέον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να βοηθήσουν στην προστασία από worms. Πρέπει επίσης να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Μην ανοίγετε συνημμένα ή κάνετε κλικ σε συνδέσμους από αγνώστους αποστολείς, καθώς αυτοί μπορεί να περιέχουν worms. Τέλος, η χρήση ενός τείχους προστασίας (firewall) μπορεί να προσφέρει μια επιπλέον στρώση προστασίας. Τα τείχη προστασίας μπορούν να βοηθήσουν στην πρόληψη της πρόσβασης worms στον υπολογιστή σας, με το να ελέγχουν την εισερχόμενη και εξερχόμενη κίνηση.
Πηγή: bleepingcomputer
