SSH-Snake показывает новый уровень заражения корпоративных сетей.
Специалисты ИБ-компании Sysdig обнаружили новый вредоносный инструмент под названием SSH-Snake, который используется для поиска приватных ключей и незаметного перемещения по инфраструктуре жертвы, что делает его значительно опаснее традиционных вирусов, использующих SSH.
SSH-Snake, описываемый как «самомодифицирующийся червь», отличается от обычных SSH-червей тем, что он избегает распространенных паттернов поведения, ассоциируемых с атаками по сценарию, обеспечивая тем самым большую скрытность. Вирус активно ищет приватные ключи в различных местах, включая файлы истории команд оболочки, и использует их для распространения на новые системы после картирования сети.
SSH-Snake доступен в открытом доступе как инструмент для автоматизированного обхода сети на основе SSH. Однако исследователи из Sysdig подчеркивают, что данный инструмент усовершенствовал концепцию бокового перемещения (Lateral Movement) за счет более тщательного поиска приватных ключей.
SSH-Snake, выпущенный 4 января 2024 года, является сценарием bash shell, задача которого заключается в автономном поиске учетных данных SSH в зараженной системе и их использовании для распространения. Отличительной особенностью SSH-Snake является его способность самомодификации и сокращения своего размера при первом запуске за счет удаления комментариев, ненужных функций и пробелов из своего кода.
Инструмент универсален и может настраиваться для конкретных операционных потребностей, включая стратегии поиска приватных ключей и идентификации их потенциального использования. SSH-Snake использует различные прямые и косвенные методы для обнаружения приватных ключей на скомпрометированных системах.
Аналитики Sysdig подтвердили оперативное состояние SSH-Snake после обнаружения сервера управления и контроля (Command and Control, C2), используемого операторами для хранения собранных данных, включая учетные данные, IP-адреса и историю жертв. Эти данные свидетельствуют об активном использовании известных уязвимостей Confluence (и возможно других) для первоначального доступа, что приводит к развертыванию вируса на конечных точках.
По данным исследователей, инструмент был использован против около 100 жертв. Sysdig считает SSH-Snake «эволюционным шагом» в области вредоносного ПО, поскольку он нацелен на метод безопасного соединения, широко используемый в корпоративных средах.
Но доступ к знаниям открыт для всех