Malware SSH-Snake hledá klíče k SSH a pak se šíří po síti

22. 2. 2024

Sdílet

Had oko Autor: Depositphotos

Tým Sysdig Threat Research Team (TRT) objevil nový malware nazvaný SSH-Snake. Popisují jej jako samomodifikujícího se červa, který se od jiných řešení odlišuje tím, že se vyhýbá vzorcům typickým pro skriptované útoky. Díky tomu se mu daří v systémech velmi dobře schovat.

Malware hledá soukromé klíče na různých místech, včetně historie shellu, adresáře .ssh nebo konfiguračních souborů. Poté zkoumá systémové zdroje jako jsou logy nebo tabulka ARP a snaží se identifikovat potenciální cíle pro přihlášení pomocí získaných údajů. Po zmapování sítě pak používá SSH klíče ke skrytému šíření do okolních systémů.

Zajímavé je, že původní SSH-Snake je nástroj volně dostupný na GitHubu, který umožňuje odhalit bezpečnostní slabiny na síti a automaticky zjistit informace o vzájemných vztazích jednotlivých počítačů. Útočníci jej ale modifikovali pro lepší účinnost a možnost ukrytí před běžnými nástroji.

Stále jde o shellový skript, ale byla mu přidána možnost se modifikovat a zmenšovat se při prvním spuštění. Dělá to tak, že ze svého kódu odstraňuje komentáře, nepotřebné funkce a bílé znaky. Citlivá přihlašovací data z jednotlivých strojů jsou pak odesílána na řídicí servery.

Našli jste v článku chybu?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.