SSH-Snake: gusano que permite mapeo de red a través de SSH

Los actores de amenazas han reutilizado una herramienta de mapeo de red de código abierto recientemente llamada SSH-Snake para realizar actividades maliciosas.

"SSH-Snake es un gusano que aprovecha las credenciales SSH descubiertas en un sistema comprometido para comenzar a propagarse por la red", dijo el investigador de Sysdig Miguel Hernández. "El gusano busca automáticamente en ubicaciones de credenciales conocidas y archivos de historial de shell para determinar su próximo movimiento".

SSH-Snake se lanzó por primera vez en GitHub a principios de enero de 2024 y su desarrollador lo describe como una "herramienta poderosa" para realizar un recorrido automático de la red utilizando claves privadas SSH descubiertas en los sistemas.

Al hacerlo, crea un mapa completo de una red y sus dependencias, lo que ayuda a determinar hasta qué punto una red puede verse comprometida utilizando SSH y claves privadas SSH a partir de un host en particular. También admite la resolución de dominios que tienen múltiples direcciones IPv4.

"Es completamente autorreplicante y autopropagante, y completamente sin archivos", según la descripción del proyecto. "En muchos sentidos, SSH-Snake es en realidad un gusano: se replica y se propaga de un sistema a otro tanto como puede".

Sysdig dijo que el script de shell no sólo facilita el movimiento lateral, sino que también proporciona sigilo y flexibilidad adicionales que otros gusanos SSH típicos.

La compañía de seguridad en la nube dijo que observó actores de amenazas que implementaban SSH-Snake en ataques del mundo real para recopilar credenciales, las direcciones IP de los objetivos y el historial de comandos bash luego del descubrimiento de un servidor de comando y control (C2) que albergaba el datos.

Estos ataques implican la explotación activa de vulnerabilidades de seguridad conocidas en instancias de Apache ActiveMQ y Atlassian Confluence para obtener acceso inicial e implementar SSH-Snake.

"El uso de claves SSH es una práctica recomendada que SSH-Snake intenta aprovechar para propagarse. Es más inteligente y confiable, lo que permitirá a los actores de amenazas llegar más lejos en una red una vez que consigan un punto de apoyo".

Cuando se le contactó para hacer comentarios, Joshua Rogers, el desarrollador de SSH-Snake, dijo a The Hacker News que la herramienta ofrece a los propietarios legítimos de sistemas una forma de identificar las debilidades en su infraestructura antes de que lo hagan los atacantes, instando a las empresas a utilizar SSH-Snake para "descubrir el ataque y arreglarlos".

"Parece ser una creencia común que el terrorismo cibernético 'simplemente ocurre' de repente en los sistemas, lo que sólo requiere un enfoque reactivo de la seguridad. En cambio, según mi experiencia, los sistemas deberían diseñarse y mantenerse con medidas de seguridad integrales. Si un atacante es capaz de ejecutar SSH-Snake en su infraestructura y acceder a miles de servidores, la atención debe centrarse en las personas que están a cargo de la infraestructura, con el objetivo de revitalizarla de modo que el compromiso de un único host no se pueda replicar entre miles de otros."

Rogers también llamó la atención sobre las "operaciones negligentes" de empresas que diseñan e implementan infraestructuras inseguras, que pueden ser fácilmente controladas por un simple script de shell.

"Si los sistemas se diseñaran y mantuvieran de manera sensata y los propietarios/empresas de los sistemas realmente se preocuparan por la seguridad, las consecuencias de la ejecución de dicho script se minimizarían, así como si las acciones tomadas por SSH-Snake fueran realizadas manualmente por un atacante", añadió Rogers.

"En lugar de leer las políticas de privacidad y realizar la entrada de datos, los equipos de seguridad de las empresas preocupados por que este tipo de script se apodere de toda su infraestructura deberían realizar una reestructuración total de sus sistemas por parte de especialistas en seguridad capacitados, no aquellos que crearon la arquitectura en primer lugar".

Fuente: THN

Suscríbete a nuestro Boletín