Ciberdelincuentes utilizan como arma SSH-Snake para los ataques a la red

Una herramienta de mapeo de red de código abierto llamada SSH-Snake ha sido reutilizada por los actores de amenazas para llevar a cabo actividades maliciosas.

"SSH-Snake es un gusano automodificable que aprovecha las credenciales SSH descubiertas en un sistema comprometido para comenzar a propagarse por toda la red", dijo el investigador de Sysdig, Miguel Hernández.

"El gusano busca automáticamente a través de ubicaciones de credenciales conocidas y archivos de historial de shell para determinar su próximo movimiento".

SSH-Snake se lanzó por primera vez en GitHub a principios de enero de 2024, y su desarrollador lo describe como una "poderosa herramienta" para llevar a cabo el recorrido automático de la red utilizando claves privadas SSH descubiertas en los sistemas.

Al hacerlo, crea un mapa completo de una red y sus dependencias, lo que ayuda a determinar hasta qué punto una red puede verse comprometida utilizando SSH y claves privadas SSH a partir de un host en particular. También admite la resolución de dominios que tienen varias direcciones IPv4.

"Es completamente autorreplicante y autopropagable, y completamente sin archivos", según la descripción del proyecto. "En muchos sentidos, SSH-Snake es en realidad un gusano: se replica a sí mismo y se propaga de un sistema a otro tan lejos como puede".

Sysdig dijo que el script de shell no solo facilita el movimiento lateral, sino que también proporciona sigilo y flexibilidad adicionales que otros gusanos SSH típicos.

La compañía de seguridad en la nube dijo que observó que los actores de amenazas desplegaban SSH-Snake en ataques del mundo real para recopilar credenciales, las direcciones IP de los objetivos y el historial de comandos bash tras el descubrimiento de un servidor de comando y control (C2) que alojaba los datos.

"El uso de claves SSH es una práctica recomendada que SSH-Snake trata de aprovechar para propagarse", dijo Hernández. "Es más inteligente y confiable, lo que permitirá a los actores de amenazas llegar más lejos en una red una vez que se afiancen".

Cuando se le contactó para hacer comentarios, Joshua Rogers, el desarrollador de SSH-Snake, dijo a The Hacker News que la herramienta ofrece a los propietarios legítimos del sistema una forma de identificar las debilidades en su infraestructura antes de que lo hagan los atacantes, instando a las empresas a usar SSH-Snake para "descubrir las rutas de ataque que existen y solucionarlas".

"Parece que comúnmente se cree que el terrorismo cibernético 'simplemente sucede' de repente en los sistemas, lo que solo requiere un enfoque reactivo de la seguridad", dijo Rogers. "En cambio, en mi experiencia, los sistemas deben diseñarse y mantenerse con medidas de seguridad integrales".

"Si un ciberterrorista es capaz de ejecutar SSH-Snake en su infraestructura y acceder a miles de servidores, se debe poner el foco en las personas que están a cargo de la infraestructura, con el objetivo de revitalizar la infraestructura de tal manera que el compromiso de un solo host no pueda replicarse en miles de otros".

Rogers también llamó la atención sobre las "operaciones negligentes" de las empresas que diseñan e implementan infraestructuras inseguras, que pueden ser fácilmente tomadas por un simple script de shell.

"Si los sistemas se diseñaran y mantuvieran de manera sensata y los propietarios de los sistemas y las empresas realmente se preocuparan por la seguridad, se minimizarían las consecuencias de la ejecución de un script de este tipo, así como si las acciones tomadas por SSH-Snake fueran realizadas manualmente por un atacante", agregó Rogers.

"En lugar de leer las políticas de privacidad y realizar la entrada de datos, los equipos de seguridad de las empresas preocupadas por que este tipo de script se apodere de toda su infraestructura deberían realizar una rearquitectura total de sus sistemas por parte de especialistas en seguridad capacitados, no aquellos que crearon la arquitectura en primer lugar".

La revelación se produce cuando Aqua descubrió una nueva campaña de botnets llamada Lucifer que explota las configuraciones incorrectas y las fallas existentes en Apache Hadoop y Apache Druid para acorralarlos en una red para minar criptomonedas y organizar ataques de denegación de servicio distribuido (DDoS).

El malware híbrido de cryptojacking fue documentado por primera vez por la Unidad 42 de Palo Alto Networks en junio de 2020, llamando la atención sobre su capacidad para explotar fallas de seguridad conocidas para comprometer los puntos finales de Windows.


En el último mes se han detectado hasta 3.000 ataques distintos dirigidos a la pila de big data de Apache, dijo la firma de seguridad en la nube. Esto también incluye aquellos que seleccionan instancias susceptibles de Apache Flink para implementar mineros y rootkits.

"El atacante implementa el ataque explotando las configuraciones erróneas y las vulnerabilidades existentes en esos servicios", dijo el investigador de seguridad Nitzan Yaakov.

"Las soluciones de código abierto de Apache son ampliamente utilizadas por muchos usuarios y colaboradores. Los atacantes pueden ver este uso extensivo como una oportunidad para tener recursos inagotables para implementar sus ataques contra ellos".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta