Zloupotreba SSH-Snake alata

Sigurnosni istraživači kompanije Sysdig Threat Research Team (TRT), su otkrili zloupotrebu SSH-Snake alata za mapiranje mreže koji je objavljen 4. januara 2024. godine. SSH-Snake je samo-podešavajući crv koji koristi SSH akreditive otkrivene na kompromitovanom sistemu za širenje po cijeloj mreži. Crv automatski pretražuje poznate lokacije akreditiva i datoteke istorije komandnog okruženja da bi odredio svoj sljedeći potez.

Zloupotreba SSH-Snake alata; Source: Bing Image Creator

SSH-SNAKE ALAT

Zlonamjerni akteri zloupotrebljavaju SSH akreditive da bi dobili neovlašteni pristup sistemima i mrežama. Koristeći slabe ili kompromitovane akreditive, oni mogu da izvrše zlonamjerne aktivnosti, jer im zloupotreba SSH akreditiva pruža skrivenu ulaznu tačku za kompromitaciju i kontrolu ciljanih sistema. Posmatrano kroz ovaj narativ, sigurnosni istraživači su otkrili zloupotrebu SSH-Snake alata u pokušaju da koristi SSH akreditive za širenje i infekciju sistema.

“Zlonamjerni akteri će uvijek imati alate za postizanje svojih ciljeva, čak i ako nijedan nije javno objavljen. Otvoreno objavljivanje alata kao što je SSH-Snake moglo bi uštedjeti zlonamjernim akterima neko vreme, ali korištenje ovih alata čini ih uočljivijim. Takođe, objavljivanjem ovih alata, branioci imaju priliku da nauče kako rade i vide kako se njihova odbrana drži.”

– Miguel Hernandez, Sysdig Sr. Threat Research Engineer –

SSH-Snake predstavlja značajno odstupanje od uobičajenih SSH crva, koristeći napredne tehnike za izbjegavanje otkrivanja dok izvodi bočno kretanje unutar kompromitovanih mreža. Za razliku od svojih prethodnika, SSH-Snake funkcioniše kao samo-podešavajući crv,  što naglašava njegovu sposobnost adaptacije. Odstupanjem od prepoznatljivih obrazaca povezanih sa napadima korištenjem skripti, SSH-Snake postiže nivo prikrivenosti i fleksibilnosti koji ranije nije viđen u eksploatacijama zasnovanim na SSH protokolu. Njegov primarni cilj je pomno traženje privatnih ključeva na različitim lokacijama unutar inficiranih sistema, omogućavajući neometano širenje unutar mreže.

SSH-SNAKE MOGUĆNOSTI

SSH-Snake nudi kroz svoju prilagodljivost pokreni i radi (eng. plug-and-play) radno okruženje uz prilagođavanje specifičnim operativnim zahtevima. Njegove sveobuhvatne mogućnosti otkrivanja akreditiva prevazilaze one kod tradicionalnih SSH crva, zahvaljujući višestranom pristupu koji obuhvata i direktne i indirektne metode. Neke od SSH-Snake tehnika su:

• Ispitivanje uobičajenih direktorijuma i datoteka u kojima su SSH ključevi i akreditivi obično uskladišteni, uključujući .ssh direktorijume i konfiguracione datoteke,
• Raščlanjavanje datoteka istorije komandnog okruženja da bi se otkrile komande povezane sa SSH operacijama, kao što su ssh, scp i rsync, koje mogu da sadrže reference na privatne ključeve,
• Korištenje funkcije “find_from_bash_history” za izdvajanje komandi povezanih sa SSH iz datoteka bash istorije, pomažući u identifikaciji lokacija privatnih ključeva i povezanih akreditiva,
• Ispitivanje sistemskih evidencija i mrežnog keša da bi se stekao uvid u potencijalne mete i indirektno otkrili privatni ključevi.

Da je ovaj zlonamjerni softver operativna pokazuje otkriće servera za komandu i kontrolu (C2) koji su koristili zlonamjerni akteri za skladištenje prikupljenih podataka, uključujući akreditive i IP adrese žrtava. Prema saznanjima sigurnosnih istraživača, ovaj alat je zloupotrijebljen za napad na oko 100 korisnika.

ZAKLJUČAK

SSH-Snake predstavlja evoluciju zlonamjernog softvera koji obično koriste zlonamjerni akteri, jer omogućava pametnije i pouzdanije riješenje za dalje širenje unutar mreže kada zlonamjerni akteri dobiju početno uporište. Pošto je upotreba SSH ključeva preporučena praksa, nju SSH-Snake pokušava da iskoristi za širenje uz upotrebu tehnike napada  bez datoteke što može otežati detekciju. Zato su neophodna sigurnosna rješenja riješenja koja otkrivaju napade čim se dogode omogućava da se ubrza proces istrage i da se izloženost svede na minimum.

“Za sve vlasnike infrastrukture ili one koji ih održavaju,a  koji su zabrinuti da će njihove sisteme preuzeti SSH-Snake, preklinjem ih da sami iskoriste SSH-Snake u svojoj sopstvenoj infrastrukturi kako bi otkrili postojeće putanje napada – i popravili ih.”

– Joshua Rogers, security engineer –

ZAŠTITA

Da bi se suprotstavile ovakvim prijetnjama, poslovne organizacije treba da primjene višeslojnu bezbjednosnu liniju djelovanja koja podrazumijeva:

• Korištenje sveobuhvatnih bezbjednosnnih riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete,
• Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
• Primjenjivati autentifikaciju u više koraka (eng. multi-factor authentication – MFA) i i rješenja za pristup zasnovana na akreditivima pomažu poslovnim organizacijama da obezbijede svoju kritičnu imovinu i visokorizične korisnike, što otežava napadačima da budu uspješni,
• Izvršiti firewall podešavanja koja će ograničite nepotreban izlazni saobraćaj, posebno za nestandardne portove povezane sa zlonamjernim softverima,
• Implementirati sveobuhvatna rješenja za praćenje i otkrivanje anomalne mrežne aktivnosti i potencijalne indikatore kompromisa. Praćenje u realnom vremenu omogućava brzu reakciju na incidente i ublažavanje sigurnosnih incidenata prije nego što oni eskaliraju,
• Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada.