Tým Sysdig Threat Research Team (TRT) objevil nový malware nazvaný SSH-Snake. Popisují jej jako samomodifikujícího se červa, který se od jiných řešení odlišuje tím, že se vyhýbá vzorcům typickým pro skriptované útoky. Díky tomu se mu daří v systémech velmi dobře schovat.
Malware hledá soukromé klíče na různých místech, včetně historie shellu, adresáře .ssh nebo konfiguračních souborů. Poté zkoumá systémové zdroje jako jsou logy nebo tabulka ARP a snaží se identifikovat potenciální cíle pro přihlášení pomocí získaných údajů. Po zmapování sítě pak používá SSH klíče ke skrytému šíření do okolních systémů.
Zajímavé je, že původní SSH-Snake je nástroj volně dostupný na GitHubu, který umožňuje odhalit bezpečnostní slabiny na síti a automaticky zjistit informace o vzájemných vztazích jednotlivých počítačů. Útočníci jej ale modifikovali pro lepší účinnost a možnost ukrytí před běžnými nástroji.
Stále jde o shellový skript, ale byla mu přidána možnost se modifikovat a zmenšovat se při prvním spuštění. Dělá to tak, že ze svého kódu odstraňuje komentáře, nepotřebné funkce a bílé znaky. Citlivá přihlašovací data z jednotlivých strojů jsou pak odesílána na řídicí servery.