Un auteur de menace utilise un outil de cartographie de réseau open source nommé SSH-Snake pour rechercher des clés privées non détectées et se déplacer latéralement sur l’infrastructure de la victime.
SSH-Snake a été découvert par l’équipe de recherche sur les menaces Sysdig (TRT), qui le décrit comme un « ver auto-modifiant » qui se démarque des vers SSH traditionnels en évitant les modèles généralement associés aux attaques scriptées.
Le ver recherche des clés privées à divers endroits, y compris des fichiers d’historique du shell, et les utilise pour se propager furtivement à de nouveaux systèmes après avoir mappé le réseau.
SSH-Snake est disponible en tant qu’actif open source pour la traversée automatisée du réseau basée sur SSH, qui peut démarrer à partir d’un système et montrer la relation avec d’autres hôtes connectés via SSH.
Cependant, des chercheurs de Sysdig, une société de sécurité cloud, affirment que SSH-Snake élève le concept typique de mouvement latéral à un nouveau niveau car il est plus rigoureux dans sa recherche de clés privées.
« En évitant les schémas facilement détectables associés aux attaques par script, ce nouvel outil offre une plus grande discrétion, flexibilité, configurabilité et découverte d’informations d’identification plus complète que les vers SSH typiques, étant ainsi plus efficace et plus performant » – Sysdig
Publié le 4 janvier 2024, SSH-Snake est un script shell bash chargé de rechercher de manière autonome sur un système piraté des informations d’identification SSH et de les utiliser pour la propagation.
Les chercheurs disent qu’une particularité de SSH-Snake est la capacité de se modifier et de se réduire lors de la première exécution. Pour ce faire, il supprime les commentaires, les fonctions inutiles et les espaces blancs de son code.
Conçu pour la polyvalence, SSH-Snake est plug-and-play tout en permettant une personnalisation pour des besoins opérationnels spécifiques, y compris l’adaptation de stratégies pour découvrir les clés privées et identifier leur utilisation potentielle.
SSH-Snake utilise diverses méthodes directes et indirectes pour découvrir des clés privées sur des systèmes compromis, notamment:
- Recherche dans les répertoires et fichiers courants où les clés SSH et les informations d’identification sont généralement stockées, y compris .répertoires ssh, fichiers de configuration et autres emplacements.
- Examen des fichiers d’historique du shell (par exemple, .bash_histoire, .zsh_history) pour rechercher des commandes (ssh, scp et rsync) qui ont pu utiliser ou référencer des clés privées SSH.
- Utilisation de la fonctionnalité ‘find_from_bash_history’ pour analyser l’historique de bash pour les commandes liées aux opérations SSH, SCP et Rsync, qui peuvent découvrir des références directes aux clés privées, leurs emplacements et les informations d’identification associées.
- Examiner les journaux système et le cache réseau (tables ARP) pour identifier les cibles potentielles et recueillir des informations qui pourraient indirectement conduire à la découverte de clés privées et où elles peuvent être utilisées.
Les analystes de Sysdig ont confirmé l’état opérationnel de SSH-Snake après avoir découvert un serveur de commande et de contrôle (C2) utilisé par ses opérateurs pour stocker les données récoltées par le ver, y compris les informations d’identification et les adresses IP des victimes.
Ces données montrent des signes d’exploitation active des vulnérabilités connues de Confluence (et éventuellement d’autres failles) pour l’accès initial, conduisant au déploiement du ver sur ces points de terminaison.
Selon les chercheurs, l’outil a été utilisé de manière offensive sur environ 100 victimes.
Sysdig considère SSH-Snake comme « une étape évolutive » en ce qui concerne les logiciels malveillants, car il cible une méthode de connexion sécurisée largement utilisée dans les environnements d’entreprise.