SSH-Snake Worm

Uma ferramenta de mapeamento de rede chamada SSH-Snake, que se tornou de código aberto, foi reaproveitada por atores relacionados à fraude para suas operações de ataque. O SSH-Snake funciona como um worm automodificável, utilizando credenciais SSH obtidas de um sistema comprometido para se propagar pela rede alvo. Este worm verifica de forma autônoma repositórios de credenciais reconhecidos e arquivos de histórico de shell para identificar suas ações subsequentes.

O SSH-Snake Worm Se Espalha pelas Redes das Vítimas

Lançado no GitHub no início de janeiro de 2024, o SSH-Snake é caracterizado por seu desenvolvedor como uma ferramenta potente projetada para travessia automatizada de rede por meio do uso de chaves privadas SSH descobertas em vários sistemas.

A ferramenta gera um mapa detalhado de uma rede e suas dependências, auxiliando na avaliação de possíveis comprometimentos por meio de chaves privadas SSH e SSH originadas de um host específico. Além disso, o SSH-Snake tem a capacidade de resolver domínios com vários endereços IPv4.

Funcionando como uma entidade completamente auto-replicante e sem arquivo, o SSH-Snake pode ser comparado a um worm, reproduzindo-se e espalhando-se autonomamente pelos sistemas. Este script de shell não apenas facilita o movimento lateral, mas também oferece maior discrição e flexibilidade em comparação com worms SSH convencionais.

A Ferramenta SSH-Snake foi Explorada em Operações de Crimes Cibernéticos

Os pesquisadores identificaram casos em que os agentes de ameaças empregaram o SSH-Snake em ataques cibernéticos reais para coletar credenciais, direcionar endereços de IP e histórico de comandos bash. Isso ocorreu após a identificação de um servidor de Comando e Controle (C2) que hospedava os ddos adquiridos. Os ataques envolvem a exploração ativa de vulnerabilidades de segurança conhecidas nas instâncias Apache ActiveMQ e Atlassian Confluence para estabelecer o acesso inicial e implantar o SSH-Snake.

O SSH-Snake explora a prática recomendada de usar chaves SSH para melhorar sua propagação. Esta abordagem, considerada mais inteligente e confiável, permite que os agentes de ameaças ampliem seu alcance dentro de uma rede assim que estabelecerem uma posição segura.

O desenvolvedor do SSH-Snake enfatiza que a ferramenta fornece aos proprietários legítimos do sistema um meio de identificar pontos fracos em sua infraestrutura antes que possíveis invasores o façam de forma proativa. As empresas são incentivadas a aproveitar o SSH-Snake para descobrir caminhos de ataque existentes e tomar medidas corretivas para resolvê-los.Os Cibercriminosos Muitas vVezes aproveitam software legítimo para seus fins nefastos

Os cibercriminosos frequentemente exploram ferramentas de software legítimas para suas atividades inseguras e operações de ataque por vários motivos:

• Camuflagem e Furtividade : Ferramentas legítimas geralmente têm usos legítimos, tornando menos provável que atraiam a atenção dos sistemas de monitoramento de segurança. Os cibercriminosos aproveitam esse aspecto para se misturar à atividade normal da rede e evitar a detecção.

• Evitar suspeitas : As medidas de segurança são frequentemente concebidas para identificar e bloquear software malicioso conhecido. Ao usar ferramentas amplamente utilizadas e confiáveis, os cibercriminosos podem passar despercebidos e reduzir a probabilidade de acionar alertas de segurança.

• Funcionalidade integrada : Ferramentas legítimas normalmente vêm com inúmeras funcionalidades que podem ser exploradas para fins inseguros. Os cibercriminosos aproveitam esses recursos integrados para executar vários estágios de um ataque sem a necessidade de implantar malware adicional potencialmente detectável.

• Táticas Living off the Land (LotL) : Os cibercriminosos empregam uma tática conhecida como Living off the Land, onde usam ferramentas e utilitários existentes presentes em um sistema para realizar atividades inseguras. Isso envolve o uso de ferramentas como PowerShell, Windows Management Instrumentation (WMI) ou outros aplicativos nativos para evitar a necessidade de download de malware externo.

• Evasão de defesas de segurança : As soluções de segurança geralmente se concentram na identificação e no bloqueio de assinaturas de malware conhecidas. Ao utilizar ferramentas legítimas, os cibercriminosos podem contornar mecanismos de deteção baseados em assinaturas, dificultando o reconhecimento e a prevenção das suas atividades pelos sistemas de segurança.

• Abuso de ferramentas de administração remota : As ferramentas de administração remota, que são essenciais para o gerenciamento legítimo do sistema, podem ser utilizadas de forma abusiva por cibercriminosos para acesso não autorizado, movimentação lateral e exfiltração de dados.

Para combater essas ameaças, as organizações precisam implementar uma linha de ação de segurança em várias camadas que inclua monitoramento contínuo, detecção baseada em comportamento, educação dos usuários e manutenção de software e sistemas atualizados para mitigar vulnerabilidades que poderiam ser exploradas por cibercriminosos.