Clicky

Ciberdelincuentes utilizan la herramienta SSH-Snake de código abierto para ataques a la red

SSHSnake

SSH-Snake es un gusano automodificador que aprovecha las credenciales SSH

Los actores de amenazas han reutilizado recientemente una herramienta de mapeo de red de código abierto llamada SSH-Snake para realizar actividades maliciosas.

"SSH-Snake es un gusano automodificador que aprovecha las credenciales SSH descubiertas en un sistema comprometido para comenzar a propagarse por la red", dijo el investigador de Sysdig Miguel Hernández.

"El gusano busca automáticamente en ubicaciones de credenciales conocidas y archivos de historial de shell para determinar su próximo movimiento".

SSH-Snake se lanzó por primera vez en GitHub a principios de enero de 2024 y su desarrollador lo describió como una "herramienta poderosa" para realizar un recorrido automático de la red utilizando claves privadas SSH descubiertas en los sistemas.

Al hacerlo, crea un mapa completo de una red y sus dependencias, lo que ayuda a determinar hasta qué punto una red puede verse comprometida utilizando SSH y claves privadas SSH a partir de un host en particular. También admite la resolución de dominios que tienen múltiples direcciones IPv4.

"Es completamente autorreplicante y autopropagante, y completamente sin archivos", según la descripción del proyecto. "En muchos sentidos, SSH-Snake es en realidad un gusano: se replica y se propaga de un sistema a otro tanto como puede".

Sysdig dijo que el script de shell no sólo facilita el movimiento lateral, sino que también proporciona sigilo y flexibilidad adicionales que otros gusanos SSH típicos.

La compañía de seguridad en la nube dijo que observó actores de amenazas que implementaban SSH-Snake en ataques del mundo real para recopilar credenciales, las direcciones IP de los objetivos y el historial de comandos bash luego del descubrimiento de un servidor de comando y control (C2) que albergaba los datos.

"El uso de claves SSH es una práctica recomendada que SSH-Snake intenta aprovechar para propagarse", afirmó Hernández. "Es más inteligente y confiable, lo que permitirá a los actores de amenazas llegar más lejos en una red una vez que consigan un punto de apoyo".

Cuando se le contactó para hacer comentarios, Joshua Rogers, el desarrollador de SSH-Snake, dijo que la herramienta ofrece a los propietarios legítimos de sistemas una manera de identificar debilidades en su infraestructura antes de que lo hagan los atacantes, instando a las empresas a utilizar SSH-Snake para "descubrir las rutas de ataque que existen y solucionarlas".

"Parece ser una creencia común que el terrorismo cibernético 'simplemente ocurre' de repente en los sistemas, lo que sólo requiere un enfoque reactivo de la seguridad", dijo Rogers. "En cambio, según mi experiencia, los sistemas deberían diseñarse y mantenerse con medidas de seguridad integrales".

"Si un ciberterrorista es capaz de ejecutar SSH-Snake en su infraestructura y acceder a miles de servidores, la atención debe centrarse en las personas que están a cargo de la infraestructura, con el objetivo de revitalizar la infraestructura de modo que el compromiso de un solo host no pueda replicarse en miles de otros".

Rogers también llamó la atención sobre las "operaciones negligentes" de empresas que diseñan e implementan infraestructuras inseguras, que pueden ser fácilmente controladas por un simple script de shell.

"Si los sistemas se diseñaran y mantuvieran de manera sensata y los propietarios/empresas de los sistemas realmente se preocuparan por la seguridad, las consecuencias de la ejecución de un script de este tipo se minimizarían, así como si las acciones tomadas por SSH-Snake fueron realizadas manualmente por un atacante", añadió Rogers.

Jesus_Caceres