Sicherheitsforscher haben eine neue Bedrohung entdeckt, die als „SSH-Snake“ bezeichnet wird, ein Schadprogramm, das für die Suche nach privaten SSH-Schlüsseln eingesetzt wird, um unbemerkt im Netzwerk der Opfer seitlich zu wandern. SSH-Snake, identifiziert vom Sysdig Threat Research Team (TRT), unterscheidet sich von traditionellen SSH-Würmern, indem es übliche Muster scriptbasierter Angriffe meidet und so eine effizientere und unauffälligere Ausbreitung ermöglicht.
Im Gegensatz zu herkömmlichen Ansätzen, die oft durch Sicherheitssysteme entdeckt werden, sucht SSH-Snake gründlicher nach privaten Schlüsseln in verschiedenen Verzeichnissen, einschließlich Shell-Verlaufdateien, und nutzt diese für die Verbreitung nach einer Netzwerkkartierung. Seit seiner Veröffentlichung am 4. Januar 2024 ist SSH-Snake als Open-Source-Tool für die automatisierte SSH-basierte Netzwerkdurchquerung verfügbar, das von einem System aus Beziehungen zu anderen über SSH verbundenen Hosts aufzeigen kann.
SSH-Snake zeichnet sich durch seine Fähigkeit zur Selbstmodifikation aus, indem es bei der ersten Ausführung seinen Code verkleinert, um Kommentare, überflüssige Funktionen und Leerzeichen zu entfernen, was die Flexibilität und Konfigurierbarkeit erhöht. Es verwendet direkte und indirekte Methoden, um private Schlüssel auf kompromittierten Systemen zu entdecken, darunter das Durchsuchen gängiger Verzeichnisse und Dateien sowie das Untersuchen von Shell-Verlaufdateien nach SSH-, SCP- und Rsync-Befehlen, die private Schlüssel verwenden oder auf sie verweisen könnten.
Sysdigs Analysten bestätigten die operationelle Nutzung von SSH-Snake, nachdem sie einen von dessen Betreibern genutzten Command-and-Control-Server entdeckten, der Daten speichert, die vom Wurm gesammelt wurden, einschließlich Anmeldeinformationen und IP-Adressen der Opfer. Diese Daten zeigen Anzeichen aktiver Ausnutzung bekannter Confluence-Schwachstellen (und möglicherweise anderer Lücken) für den Erstzugriff, was zur Bereitstellung des Wurms auf diesen Endpunkten führte.
Die Forscher betrachten SSH-Snake als „einen evolutionären Schritt“ in der Malware-Entwicklung, da es eine weit verbreitete sichere Verbindungsmethode in Unternehmensumgebungen ins Visier nimmt und bereits in etwa 100 Fällen offensiv eingesetzt wurde. Sicherheitsexperten empfehlen dringend, Schutzmaßnahmen zu ergreifen und die Sicherheit von SSH-Schlüsseln zu erhöhen, um sich vor solchen fortschrittlichen Bedrohungen zu schützen.