Los actores de amenazas han reutilizado una herramienta de mapeo de red de
código abierto recientemente llamada SSH-Snake para realizar actividades
maliciosas.
«SSH-Snake es un gusano que aprovecha las credenciales SSH
descubiertas en un sistema comprometido para comenzar a propagarse por la
red», dijo el investigador de Sysdig Miguel Hernández. «El gusano busca automáticamente en ubicaciones de credenciales conocidas y
archivos de historial de shell para determinar su próximo movimiento».
SSH-Snake se lanzó por primera vez en GitHub a principios de enero de 2024 y
su desarrollador lo describe como una «herramienta poderosa» para realizar un recorrido automático de la red utilizando claves privadas SSH descubiertas en
los sistemas.
Al hacerlo, crea un mapa completo de una red y sus dependencias, lo que ayuda
a determinar hasta qué punto una red puede verse comprometida utilizando SSH y
claves privadas SSH a partir de un host en particular. También admite la resolución de dominios que tienen múltiples direcciones IPv4.
«Es completamente autorreplicante y autopropagante, y completamente sin
archivos», según la descripción del proyecto.
«En muchos sentidos, SSH-Snake es en realidad un gusano: se replica y se
propaga de un sistema a otro tanto como puede».
Sysdig dijo que el script de shell no sólo facilita el movimiento lateral,
sino que también proporciona sigilo y flexibilidad adicionales que otros
gusanos SSH típicos.
La compañía de seguridad en la nube dijo que observó actores de amenazas que
implementaban SSH-Snake en ataques del mundo real para recopilar credenciales,
las direcciones IP de los objetivos y el historial de comandos bash luego del
descubrimiento de un servidor de comando y control (C2) que albergaba el
datos.
Estos ataques implican la explotación activa de vulnerabilidades de seguridad
conocidas en instancias de Apache ActiveMQ y Atlassian Confluence para obtener
acceso inicial e implementar SSH-Snake.
«El uso de claves SSH es una práctica recomendada que SSH-Snake intenta
aprovechar para propagarse. Es más inteligente y confiable, lo que permitirá
a los actores de amenazas llegar más lejos en una red una vez que consigan
un punto de apoyo».
Cuando se le contactó para hacer comentarios, Joshua Rogers, el desarrollador
de SSH-Snake, dijo a The Hacker News que la herramienta ofrece a los
propietarios legítimos de sistemas una forma de identificar las debilidades en
su infraestructura antes de que lo hagan los atacantes, instando a las
empresas a utilizar SSH-Snake para «descubrir el ataque y arreglarlos».
«Parece ser una creencia común que el terrorismo cibernético ‘simplemente
ocurre’ de repente en los sistemas, lo que sólo requiere un enfoque reactivo
de la seguridad. En cambio, según mi experiencia, los sistemas deberían
diseñarse y mantenerse con medidas de seguridad integrales. Si un atacante es capaz de ejecutar SSH-Snake en su infraestructura
y acceder a miles de servidores, la atención debe centrarse en las personas
que están a cargo de la infraestructura, con el objetivo de revitalizarla de
modo que el compromiso de un único host no se pueda replicar entre miles
de otros.»
Rogers también llamó la atención sobre las «operaciones negligentes» de
empresas que diseñan e implementan infraestructuras inseguras, que pueden ser
fácilmente controladas por un simple script de shell.
«Si los sistemas se diseñaran y mantuvieran de manera sensata y los
propietarios/empresas de los sistemas realmente se preocuparan por la
seguridad, las consecuencias de la ejecución de dicho script se
minimizarían, así como si las acciones tomadas por SSH-Snake fueran
realizadas manualmente por un atacante», añadió Rogers.
«En lugar de leer las políticas de privacidad y realizar la entrada de
datos, los equipos de seguridad de las empresas preocupados por que este
tipo de script se apodere de toda su infraestructura deberían realizar una
reestructuración total de sus sistemas por parte de especialistas en
seguridad capacitados, no aquellos que crearon la arquitectura en primer
lugar».
Fuente:
THN
Los comentarios están cerrados.