SSHSnake:被恶意行为者利用的开源渗透测试工具
关键要点
SSHSnake 是一款由安全工程师 Joshua Rogers 开发的开源渗透测试工具,用于自动化查找和利用 SSH 私钥。攻击者利用该工具针对使用易受攻击的商业软件的受害者进行攻击。Sysdig 研究团队发现了约 100 个受攻击者影响的目标,并指出这些攻击者似乎专注于通过加密货币挖矿实现财务收益。SSHSnake 的自动化流程不仅有助于渗透测试人员和系统管理员理解网络基础设施,也可能被不法分子滥用。一款开源渗透测试工具 SSHSnake 被恶意行为者用来针对那些使用易受攻击商业软件的受害者。该工具由安全工程师 Joshua Rogers 设计,并于 2024 年 1 月 4 日在 GitHub 上发布。Rogers 在他的网站上 解释 说,该工具旨在自动化查找和利用 SSH 私钥的过程,以便在系统之间移动,并可视化网络中的 SSH 连接。
“我创建 SSHSnake 是因为我觉得制作这个工具既有趣又稍微具有挑战性,我希望能创建出美丽的艺术作品和被黑客入侵系统的视觉表现 我在这方面取得了成功,因为我认为自己更像是一位艺术家,而非黑客。” Rogers 在给 SC Media 的电子邮件中说。
攻击者的活动Sysdig 威胁研究团队发现恶意行为者利用该网络遍历工具进行攻击,并在周二发布了相关的 博客文章。这些攻击者利用已知的漏洞,包括多个 Confluence 漏洞,获得系统的初步访问,从而部署 SSHSnake。Confluence 是 Atlassian 的一款远程团队协作和管理软件。根据 Sysdig 的报告,SSHSnake 工具被用来检索受害者的 IP 地址、SSH 凭证和 bash 历史记录。这些情报可能会被用于未来的网络攻击。
Sysdig 发现,自从发现了这些攻击者的指挥与控制 (C2) 服务器后,受害者名单已经增长到大约 100 个。Sysdig 的威胁研究总监 Michael Clark 和高级威胁研究工程师 Miguel Hernandez 在给 SC Media 的邮件中表示,这些攻击者目前似乎专注于通过加密货币挖矿实现财务收益。
“然而,以往我们也看到攻击者部署加密货币挖矿工具,同时窃取知识产权或进行其他恶意活动。” Hernandez 说:“利用 SSHSnake 获得的深度访问后,他们可能会有很多选择,具体取决于他们发现了什么。”
推特专用加速器Rogers 表示,SSHSnake “只是一种自动化人类已经能够做到的事情”,“聚焦于网络犯罪分子使用这个工具的说法是不准确的”。
“相反,焦点应该放在那些不重视安全的组织上,并惩罚那些粗心构建可被简单 shell 脚本接管的基础设施的企业。” Rogers 告诉 SC Media。“SSHSnake 并没有使用任何秘密的配方、技巧或漏洞:它只是利用了安全架构设计缺陷。”
文件无 SSHSnake 是网络遍历的“进化步骤”
SSHSnake 是一个自动化发现 SSH 私钥和主机的 bash 脚本,其独特之处在于它具备自我修改的能力,基本上在部署时会缩小自身。
在初次执行后,所有不必要的功能、空格和注释都会从代码中删除,使得其在悄无声息地遍历网络时,保持完全无文件状态,尽管其最初大小超过 1250 行。
SSHSnake 使用多种方法在不同位置搜索 SSH 凭证和主机,包括 bash 历史文件,从中解析 ssh、scp 和 rsync 调用,并提取相关内容。
该工具也表现出蠕虫特性,当它访问新目标时自我复制,以重复寻找密钥的过程。该脚本还可以自定义,以启用和禁用特定
