SSH-Snake stiehlt SSH-Schlüssel

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch eine kleine Warnung vor dem Wurm Snake, der auf die Erbeutung von SSH-Schlüsseln aus ist. Der Schädling  SSH-Snake wurde vom Sysdig Threat Research Team (TRT) entdeckt. Der selbst modifizierende Wurm nutzt SSH-Anmeldeinformationen, die auf einem kompromittierten System entdeckt wurden, um sich im gesamten Netzwerk zu verbreiten. Der Wurm durchsucht automatisch bekannte Speicherorte für Anmeldeinformationen und Shell-Verlaufsdateien.


Anzeige

Die Malware wird von Bedrohungsakteuren aktiv eingesetzt. Sie ist intelligenter und zuverlässiger, was die Angreifer in die Lage versetzt, weiter in ein Netzwerk vorzudringen, sobald sie dort Fuß gefasst haben. Der SSH-Wurm Snake versucht die grundlegende Empfehlung zum Einsatz von SSH-Schlüsseln auszunutzen, um sich im Netzwerk zu verbreiten. Er ist außerdem dateilos, was die statische Erkennung erschweren kann.

Die Kollegen von Bleeping Computer haben die Tage in diesem Beitrag vor SSH-Snake gewarnt. Der Wurm ist als OpenSource auf Github verfügbar. Von einer Agentur ist mir ein Kommentar von Kevin Bocek, Chief Innovation Officer bei Venafi, zugegangen, der den Sachverhalt wie folgt thematisiert:

SSH-Snake könnte angesichts der hohen Privilegien, die SSH-Schlüssel genießen, schwerwiegende Folgen haben. SSH-Snake wurde mit der Absicht entwickelt, Unternehmen dabei zu helfen, Lücken in der Verteidigung zu finden. Allerdings ist es ein zweischneidiges Schwert, wenn SSH-Schlüssel nicht effektiv verwaltet werden. Der Wurm ist in der Lage, SSH-Anmeldedaten selbst zu verändern und auszunutzen, und könnte in den Händen von Angreifern sehr gefährlich werden. SSH-Schlüssel laufen nicht ab wie andere Maschinenidentitäten, und sie werden häufig missverstanden. Das bedeutet, dass eine kompromittierte Identität lange Zeit – Monate oder sogar Jahre – missbraucht werden kann, ohne dass eine Organisation davon erfährt, was sie zu einer Goldgrube für Opportunisten macht.

Ein mit SSH-Snake bewaffneter Angreifer könnte mühelos Netzwerke durchdringen, Verbindungen abfangen und sich Zugang zur Unternehmensinfrastruktur verschaffen. Seine subtilen Code-Modifikationen machen ihn praktisch unentdeckbar.

Untersuchungen zeigen, dass 2020 mehr als ein Drittel (37%) der dort befragten CIOs angaben, dass sie keinen Einblick in den Verbleib von SSH in ihren Netzwerken haben. Angesichts der zunehmenden Nutzung von SSH in Cloud-Umgebungen, Containern und automatisierten Arbeitsabläufen ist diese Zahl wahrscheinlich noch höher als heute. Dieser Mangel an Übersicht ist beunruhigend, so die Einschätzung der Sicherheitsanbieter, wenn man bedenkt, dass diese kritischen Maschinenidentitäten überall verwendet werden, von Firewalls und Routern bis hin zu Unix- oder Linux-Systemen.


Anzeige

Kevin Bocek meint: Um Bedrohungen zu bekämpfen, die von Tools wie SSH-Snake ausgehen könnten, müssen Unternehmen einen Überblick über alle ihre Maschinenidentitäten haben. Dann können sie Richtlinien festlegen und durchsetzen, die die Rotation von Maschinenidentitäten automatisieren, die sie möglicherweise ungeschützt lassen. Eine Kontrollebene zur Verwaltung und Automatisierung von Maschinenidentitäten ist eine wertvolle Unterstüzung für unterbesetzte Sicherheitsabteilungen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu SSH-Snake stiehlt SSH-Schlüssel

  1. Pau1 sagt:

    "Eine Kontrollebene zur Verwaltung und Automatisierung von Maschinenidentitäten ist eine wertvolle Unterstüzung für unterbesetzte Sicherheitsabteilungen. "

    Ich wunderte mich schon. klar was die verkaufen wollen?

  2. Steffen sagt:

    Also das Wort "automatisieren" gibt es nun schon lange. Wer heute noch Server von Hand anlegt. SSH Schlüssel überall ablegt die in alle Richtungen funken. Auf der Server Konsole von Hand von Server zu Server springt, etc. der ist natürlich von so einem "geilen Tool" überrascht. Aber mal ganz ehrlich, das tool macht nix was es nicht schon lange in einer Form oder der anderen als bash script irgendwo rum liegt.

    Ich will die Arbeit von dem Snake Typen nicht verschmälern, er hat sich wirklich viel Mühe gemacht und all diese kleinen Scripts und Vorgänge einmal gesammelt, aber "neu erfunden" hat er nix.

    Also vielleicht einfach mal die eigene Arbeitsweise in Frage stellen.

    • jesterfox sagt:

      Ich werfe mal "encrypted at rest", chmod, chown, root vs User in den Raum. Das Tool kann nix und jeder der was von Rechteverwaltung auf Multi-user-OS versteht lacht. Trotzdem nette Info was die skiddies scripten. Programmieren und compilen können sie ja nicht wie man an dem Repo sieht.

      Automatic elevation of privileges to root using sudo if possible

      Also eher unmöglich auf einem korrekt aufgesetztem *NIX, Zitat:
      https://fedoraproject.org/wiki/Changes/yescrypt_as_default_hashing_method_for_shadow

      yescrypt has a dependency not only on RAM, but also on fast on-die local memory, which provides bcrypt-like anti-GPU properties

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.