Un actor de amenazas está utilizando una herramienta de mapeo de red de código abierto llamada SSH-Snake para buscar claves privadas sin ser detectadas y moverse lateralmente en la infraestructura de la víctima.
SSH-Snake fue descubierto por el Sysdig Threat Research Team (TRT), que lo describe como un “gusano automodificador” que se diferencia de los gusanos SSH tradicionales al evitar los patrones típicamente asociados con ataques programados.
El gusano busca claves privadas en varias ubicaciones, incluidos archivos de historial de shell, y las utiliza para propagarse sigilosamente a nuevos sistemas después de mapear la red.
SSH-Snake está disponible como un activo de código abierto para el recorrido automatizado de red basado en SSH, que puede comenzar desde un sistema y mostrar la relación con otros hosts conectados a través de SSH.
Sin embargo, los investigadores de Sysdig, una empresa de seguridad en la nube, dicen que SSH-Snake lleva el típico concepto de movimiento lateral a un nuevo nivel porque es más riguroso en su búsqueda de claves privadas.
Lanzado el 4 de enero de 2024, SSH-Snake es un script de shell bash cuya tarea es buscar de forma autónoma credenciales SSH en un sistema vulnerado y utilizarlas para la propagación.
Los investigadores dicen que una particularidad de SSH-Snake es la capacidad de modificarse y hacerse más pequeño cuando se ejecuta por primera vez. Para ello, elimina comentarios, funciones innecesarias y espacios en blanco de su código.
Diseñado para brindar versatilidad, SSH-Snake es plug-and-play pero permite personalizarlo para necesidades operativas específicas, incluida la adaptación de estrategias para descubrir claves privadas e identificar su uso potencial.
SSH-Snake emplea varios métodos directos e indirectos para descubrir claves privadas en sistemas comprometidos, que incluyen:
- Búsqueda en directorios y archivos comunes donde normalmente se almacenan las claves y credenciales SSH, incluidos directorios .ssh, archivos de configuración y otras ubicaciones.
- Examinar archivos de historial de shell (por ejemplo, .bash_history, .zsh_history) para encontrar comandos (ssh, scp y rsync) que puedan haber usado o hecho referencia a claves privadas SSH.
- Usar la función ‘find_from_bash_history’ para analizar el historial de bash en busca de comandos relacionados con operaciones SSH, SCP y Rsync, que pueden descubrir referencias directas a claves privadas, sus ubicaciones y credenciales asociadas.
- Examinar los registros del sistema y el caché de la red (tablas ARP) para identificar objetivos potenciales y recopilar información que podría conducir indirectamente al descubrimiento de claves privadas y dónde se pueden utilizar.
Los analistas de Sysdig confirmaron el estado operativo de SSH-Snake después de descubrir un servidor de comando y control (C2) utilizado por sus operadores para almacenar datos recopilados por el gusano, incluidas las credenciales y las direcciones IP de las víctimas.
Estos datos muestran signos de explotación activa de vulnerabilidades conocidas de Confluence (y posiblemente otras fallas) para el acceso inicial, lo que lleva a la implementación del gusano en estos puntos finales.
Según los investigadores, la herramienta se utilizó de forma ofensiva contra unas 100 víctimas.
Sysdig ve a SSH-Snake como “un paso evolutivo” en lo que respecta al malware porque apunta a un método de conexión seguro que se usa ampliamente en entornos corporativos.