黑客快速滥用“SSH-Snake”蠕虫类工具

云安全公司 Sysdig 报告称，大约 100 个组织的 SSH 凭据被最近发布的具有类似蠕虫功能的开源渗透测试工具窃取。

该工具名为 SSH-Snake，由澳大利亚安全研究员 Joshua Rogers 开发，于 1 月份发布，可使用从本地系统获取的 SSH 密钥实现自动网络遍历。

开发人员表示， SSH-Snake是一个 Bash 脚本，旨在查找系统上的 SSH 密钥，并创建网络及其依赖关系的映射、通过 SSH 连接的系统之间的关系，以及使用 SSH 密钥对网络造成危害的程度。

该脚本还提供各种功能、设置和输出，并且可以进行自定义以搜索私钥及其可使用的目的地。它允许管理员更好地了解他们的网络，并且也可以禁用打印已识别私钥的选项。

然而，正如 Rogers 指出的那样，SSH-Snake 旨在用于黑客目的，其行为就像蠕虫一样。

“它是完全自我复制和自我传播的——并且完全无文件。从很多方面来说，SSH-Snake 实际上是一种蠕虫病毒：它会自我复制，并尽可能地从一个系统传播到另一个系统，”Rogers 指出。

事实上，SSH-Snake 的主要特性已经吸引了威胁行为者，他们开始在恶意攻击中使用它，Sysdig 观察到攻击者利用 Confluence 漏洞进行企业网络的初始访问，并部署 SSH-Snake 来获取凭据并进行横向移动。

对攻击者的命令与控制 (C&C) 服务器的分析表明，使用 SSH-Snake 收集的信息包括受害者的凭据、IP 地址和 bash 历史记录。

“我们目睹受害者名单不断增加，这意味着这是一项持续的行动。截至撰写本文时，受害者人数约为 100 人，” Sysdig 说。

该网络安全公司还指出，SSH-Snake 避免了与脚本攻击相关的可检测模式，与其他 SSH 恶意软件相比，提供了更高的隐蔽性。但是，可以使用运行时威胁检测工具来识别其活动。

“SSH-Snake 是威胁行为者通常部署的恶意软件的一个进化步骤。它更智能、更可靠，一旦威胁行为者站稳脚跟，他们就能更深入地进入网络。”Sysdig 指出。

原文始发于微信公众号（河南等级保护测评）：黑客快速滥用“SSH-Snake”蠕虫类工具