Een onlangs open source netwerktoewijzingstool genaamd SSH-slang is door bedreigingsactoren hergebruikt om kwaadaardige activiteiten uit te voeren.
“SSH-Snake is een zelfmodificerende worm die gebruik maakt van SSH-gegevens die zijn ontdekt op een gecompromitteerd systeem om zichzelf over het netwerk te verspreiden”, zegt Sysdig-onderzoeker Miguel Hernández.
“De worm doorzoekt automatisch bekende referentielocaties en shell-geschiedenisbestanden om zijn volgende zet te bepalen.”
SSH-Snake werd begin januari 2024 voor het eerst uitgebracht op GitHub en wordt door de ontwikkelaar beschreven als een “krachtige tool” om automatische netwerktraversal uit te voeren met behulp van SSH-privésleutels die op systemen zijn ontdekt.
Daarbij creëert het een uitgebreide kaart van een netwerk en zijn afhankelijkheden, waardoor kan worden bepaald in welke mate een netwerk kan worden gecompromitteerd met behulp van SSH en SSH-privésleutels vanaf een bepaalde host. Het ondersteunt ook de resolutie van domeinen met meerdere IPv4-adressen.
“Het is volledig zelfreplicerend en zichzelf voortplantend – en volledig bestandloos”, aldus de beschrijving van het project. “In veel opzichten is SSH-Snake eigenlijk een worm: het repliceert zichzelf en verspreidt zichzelf van het ene systeem naar het andere, voor zover het kan.”
Sysdig zei dat het shellscript niet alleen zijdelingse bewegingen mogelijk maakt, maar ook extra stealth en flexibiliteit biedt dan andere typische SSH-wormen.
Het cloudbeveiligingsbedrijf zei dat het bedreigingsactoren heeft waargenomen die SSH-Snake inzetten bij aanvallen in de echte wereld om inloggegevens, de IP-adressen van de doelwitten en de bash-opdrachtgeschiedenis te verzamelen na de ontdekking van een command-and-control (C2)-server die host is voor de gegevens.
“Het gebruik van SSH-sleutels is een aanbevolen praktijk waarvan SSH-Snake probeert te profiteren om zich te verspreiden”, aldus Hernández. “Het is slimmer en betrouwbaarder, waardoor bedreigingsactoren verder in een netwerk kunnen reiken zodra ze voet aan de grond krijgen.”
Toen Joshua Rogers, de ontwikkelaar van SSH-Snake, voor commentaar werd benaderd, vertelde hij aan The Hacker News dat de tool legitieme systeemeigenaren een manier biedt om zwakke punten in hun infrastructuur te identificeren voordat aanvallers dat doen, waarbij hij er bij bedrijven op aandringt SSH-Snake te gebruiken om “de aanval te ontdekken”. paden die er zijn – en repareer ze.”
“Het lijkt algemeen te worden aangenomen dat cyberterrorisme ‘gewoon plotseling gebeurt’ met systemen, wat alleen maar een reactieve benadering van de veiligheid vereist”, aldus Rogers. “In plaats daarvan moeten systemen, naar mijn ervaring, worden ontworpen en onderhouden met uitgebreide beveiligingsmaatregelen.”
“Als een cyberterrorist SSH-Snake op uw infrastructuur kan draaien en toegang kan krijgen tot duizenden servers, moet de focus worden gelegd op de mensen die de leiding hebben over de infrastructuur, met als doel de infrastructuur zo nieuw leven in te blazen dat het compromis van een enkele host kan niet worden gerepliceerd over duizenden anderen.”
Rogers vestigde ook de aandacht op de “nalatige handelingen” van bedrijven die onveilige infrastructuur ontwerpen en implementeren, die gemakkelijk kan worden overgenomen door een eenvoudig shellscript.
“Als systemen op een verstandige manier zouden worden ontworpen en onderhouden en systeemeigenaren/bedrijven daadwerkelijk om de beveiliging zouden geven, zouden de gevolgen van de uitvoering van een dergelijk script tot een minimum worden beperkt – net zoals als de acties van SSH-Snake handmatig door een aanvaller zouden worden uitgevoerd. ”, voegde Rogers eraan toe.
“In plaats van het privacybeleid te lezen en gegevens in te voeren, zouden beveiligingsteams van bedrijven die zich zorgen maken over het feit dat dit soort scripts hun volledige infrastructuur overnemen, een totale herarchitectuur van hun systemen moeten uitvoeren door getrainde beveiligingsspecialisten – niet degenen die de architectuur in de eerste plaats hebben gecreëerd. plaats.”
De onthulling komt op het moment dat Aqua een nieuwe botnetcampagne ontdekte met de naam Lucifer dat misbruik maakt van verkeerde configuraties en bestaande fouten in Apache Hadoop en Apache Druid om ze samen te brengen in een netwerk voor het minen van cryptocurrency en het organiseren van gedistribueerde denial-of-service (DDoS)-aanvallen.
De hybride cryptojacking-malware werd voor het eerst gedocumenteerd door Palo Alto Networks Unit 42 in juni 2020, waarbij de aandacht werd gevestigd op het vermogen ervan om bekende beveiligingsfouten te misbruiken om Windows-eindpunten in gevaar te brengen.
Er zijn de afgelopen maand maar liefst 3.000 verschillende aanvallen gedetecteerd die gericht waren op de big data-stack van Apache, aldus het cloudbeveiligingsbedrijf. Dit omvat ook degenen die gevoelige Apache Flink-instanties uitkiezen om mijnwerkers en rootkits in te zetten.
“De aanvaller implementeert de aanval door misbruik te maken van bestaande verkeerde configuraties en kwetsbaarheden in die diensten”, aldus beveiligingsonderzoeker Nitzan Yaakov.
“Open source-oplossingen van Apache worden op grote schaal gebruikt door veel gebruikers en bijdragers. Aanvallers kunnen dit uitgebreide gebruik zien als een kans om over onuitputtelijke bronnen te beschikken om hun aanvallen op hen uit te voeren.”
