Cyberkriminelle missbrauchen Open-Source-Tool für Netzwerkangriffe
Ein kürzlich als Open Source freigegebenes Netzwerk-Mapping-Tool namens SSH-Snake wurde von Angreifern zweckentfremdet, um bösartige Aktivitäten durchzuführen. SSH-Snake ist ein sich selbst modifizierender Wurm, der SSH-Anmeldeinformationen von einem kompromittierten System nutzt, um sich im gesamten Netzwerk zu verbreiten.
„Der Wurm durchsucht automatisch für Anmeldeinformationen und Shell-Verlaufsdateien bekannte Speicherorte, um seinen nächsten Schritt zu bestimmen“, so Sicherheitsexperten von Sysdig. SSH-Snake wurde erstmals Anfang Januar 2024 auf GitHub veröffentlicht. Das Tool wird von seinem Entwickler als „leistungsfähiges Tool“ beschrieben, das mit Hilfe von privaten SSH-Schlüsseln, die auf dem aktuellen System entdeckt wurden, automatisch versucht, sich in andere Netzwerke zu verbinden.
Auf diese Weise wird eine detaillierte Karte eines Netzwerks und seiner Verbindungen erstellt, mit deren Hilfe festgestellt werden kann, inwieweit ein Netzwerk mit SSH und privaten SSH-Schlüsseln von einem bestimmten Host aus kompromittiert werden kann. Das Programm hilft auch dabei, Domänen mit mehreren IPv4-Adressen aufzulösen.
„In der Projektbeschreibung wird betont, dass es sich um eine vollständig selbstreplizierende und dateilose Software handelt“, heißt es weiter. „SSH-Snake verhält sich in vielerlei Hinsicht wie ein Wurm: Er kopiert sich selbst und breitet sich von einem System zum anderen aus – und das so weit wie möglich.“
Laut Sysdig erleichtert dieses Shell-Skript nicht nur die laterale Bewegung, sondern bietet auch mehr Tarnung und Flexibilität als andere typische SSH-Würmer.
Das Cloud-Sicherheitsunternehmen hat beobachtet, dass Bedrohungsakteure SSH-Snake in realen Angriffen einsetzen, um Anmeldeinformationen, die IP-Adressen der Ziele und die Bash-Befehlshistorie zu sammeln, sobald ein Command-and-Control-Server (C2) ausgemacht wurde, auf dem die Daten dann gehostet werden.
Diese Angriffe nutzen bekannte Sicherheitslücken in Apache ActiveMQ und Atlassian Confluence-Instanzen aus, um einen ersten Zugang zu erhalten und SSH-Snake einzusetzen.
„Die Verwendung von SSH-Schlüsseln ist eine bewährte Praxis, die SSH-Snake nutzt, um sich zu verbreiten“, so die Sicherheitsspezialisten. „Sie ist intelligenter und zuverlässiger als andere Methoden. Das erlaubt es Bedrohungsakteuren, tiefer in ein Netzwerk vorzudringen, sobald sie den initialen Zugang erlangt haben.“
Der Entwickler von SSH-Snake Joshua Rogers erklärt, dass das Tool legitimen Systembesitzern die Möglichkeit gibt, Schwachstellen in ihrer Infrastruktur zu erkennen, bevor Angreifer dies tun. Er empfiehlt Unternehmen dringend, SSH-Snake zu nutzen, um etwaige Angriffswege zu entdecken und zu sperren.
„Es herrscht oft die Meinung vor, dass Cyber-Terrorismus plötzlich auf Systeme einwirkt und lediglich einen reaktiven Sicherheitsansatz erfordert“, so Rogers. „Meiner Erfahrung nach sollten Systeme stattdessen von Anfang an mit umfassenden Sicherheitsmaßnahmen geplant und gewartet werden. Wenn ein Cyber-Terrorist SSH-Snake auf Ihrer Infrastruktur ausführt und Zugriff auf Tausende von Servern erhält, sollte der Fokus darauf liegen, die Personen zu identifizieren, die für die Infrastruktur verantwortlich sind. Sie müssen die Infrastruktur schnellstmöglich so zu stärken, dass die Kompromittierung eines einzelnen Hosts nicht auf Tausende von anderen übertragen werden kann.“
Rogers kritisierte auch die „fahrlässige Vorgehensweise“ von Unternehmen, die eine unsichere Infrastruktur gestalten und implementieren, die leicht von einem simplen Shell-Skript übernommen werden kann.
„Wenn Systeme vernünftig entworfen und gewartet würden und die Systembesitzer tatsächlich Sicherheit priorisieren würden, wären die Auswirkungen der Ausführung eines solchen Skripts minimiert – ähnlich wie bei manuellen Aktionen, die von einem Angreifer durchgeführt werden“, fügte Rogers hinzu.
Weiter rät er: „Anstatt sich auf das Lesen von Datenschutzrichtlinien und das Eingeben von Daten zu konzentrieren, sollten Sicherheitsteams in Unternehmen ihre Systeme vollständig von geschulten Sicherheitsexperten überprüfen lassen – aber nicht von denen, welche die Architektur ursprünglich geschaffen haben. “
Die Enthüllung erfolgt zu einem Zeitpunkt, an dem Aqua eine neue Botnet-Kampagne namens Lucifer aufgedeckt hat. Diese nutzt Fehlkonfigurationen und bestehende Schwachstellen in Apache Hadoop und Apache Druid aus, um sie in ein Netzwerk einzuschleusen. Dort werden Kryptowährungen geschürft und DDoS-Angriffe (Distributed Denial of Service) durchgeführt.
Die hybride Cryptojacking-Malware wurde erstmals im Juni 2020 von Palo Alto Networks Unit 42 dokumentiert und zeigte ihre Fähigkeit, bekannte Sicherheitslücken auszunutzen, um Windows-Endpunkte zu kompromittieren.
Laut dem Sicherheitsunternehmen wurden im vergangenen Monat bis zu 3.000 verschiedene Angriffe auf den Apache Big Data Stack entdeckt. Darunter sind auch solche, die anfällige Apache-Flink-Instanzen zum Einsatz von Minern und Rootkits auswählen.
„Der Angreifer führt den Angriff aus, indem er vorhandene Fehlkonfigurationen und Schwachstellen in diesen Diensten ausnutzt“, erklärte ein Sicherheitsforscher von Aqua. „Da Apache-Open-Source-Lösungen von vielen Benutzern und Entwicklern genutzt werden, könnten Angreifer diese weite Verbreitung als unerschöpfliche Ressource betrachten, um ihre Angriffe darauf zu implementieren.“