Категория > Новости > Опенсорсный червь SSH-Snake ворует ключи SSH - «Новости»
Опенсорсный червь SSH-Snake ворует ключи SSH - «Новости»27-02-2024, 00:00. Автор: Murray |
Аналитики компании Sysdig, специализирующейся на облачной безопасности, предупредили о появлении опенсорсного инструмента SSH-Snake, который используется для незаметного поиска приватных ключей и бокового перемещения по инфраструктуре жертвы. Исследователи описывают SSH-Snake как «самомодифицирующегося червя», который использует учетные данные SSH, обнаруженные в скомпрометированной системе, чтобы начать распространяться по сети. Также отмечается, что он отличается от обычных SSH-червей тем, что избегает паттернов, типичных для скриптовых атак, и выводит обычное боковое перемещение по сети на новый уровень, поскольку более тщательно подходит к поиску приватных ключей. Например, SSH-Snake использует следующие прямые и косвенные методы для обнаружения приватных ключей в зараженных системах:
SSH-Snake появился на GitHub в начале января 2024 года, и его разработчик писал, что это «мощный инструмент» для автоматического network traversal c использованием приватных ключей SSH, обнаруженных в системах. При этом SSH-Snake создает полную карту сети и ее зависимостей, помогая определить, как сеть может быть скомпрометирована с использованием SSH и приватных ключей SSH, начиная с конкретного хоста. «Он полностью самовоспроизводящийся и саморазмножающийся, а также совершенно бесфайловый», — гласит описание проекта на GitHub. При этом создатель SSH-Snake, Джошуа Роджерс (Joshua Rogers), подчеркивает, что его инструмент предназначен для законных владельцев систем и выявления слабых мест в их инфраструктуре, пока этого не сделали злоумышленники. «Принято считать, что кибертерроризм происходит внезапно и требует исключительно реактивного подхода к безопасности, — говорит Роджерс. — По моему опыту, вместо этого системы должны разрабатываться и обслуживаться с применением комплексных мер безопасности. Если бы системы разрабатывались и обслуживались людьми в здравом уме, а владельцы систем и компании действительно заботились о безопасности, последствия от выполнения подобного скрипта были бы сведены к минимуму, как если бы действия SSH-Snake выполнялись злоумышленником вручную». В Sysdig сообщают, что одной из наиболее интересных особенностей SSH-Snake является его способность модифицировать себя и уменьшать размер при первом запуске. Для этого червь удаляет из своего кода комментарии, ненужные функции и пробельные символы. При этом аналитики пишут, что червь уже используется злоумышленниками. В частности, исследователи обнаружили управляющий сервер, используемый операторами SSH-Snake для хранения собранной им информации, включая учетные данные и IP-адреса жертв. Судя по всему, хакеры эксплуатировали известные уязвимости в Apache ActiveMQ и Atlassian Confluence для получения первоначального доступа к сетям жертв, а затем развертывали червя для продолжения атаки. По данным специалистов, в общей сложности опенсорсный инструмент уже использовался в атаках против примерно 100 жертв. Перейти обратно к новости |