Der sich selbst modifizierende Wurm namens Snake stiehlt SSH-Schlüssel. Er wurde vom Sysdig Threat Research Team (TRT) entdeckt und nutzt SSH-Anmeldeinformationen, die auf einem kompromittierten System entdeckt wurden, um sich im gesamten Netzwerk zu verbreiten. Der Wurm durchsucht automatisch bekannte Speicherorte für Anmeldeinformationen und Shell-Verlaufsdateien. Die Malware wird von Bedrohungsakteuren aktiv eingesetzt.
Snake ist intelligenter und zuverlässiger, was die Angreifer in die Lage versetzt, weiter in ein Netzwerk vorzudringen, sobald sie dort Fuß gefasst haben. Der SSH-Wurm Snake versucht die grundlegende Empfehlung zum Einsatz von SSH-Schlüsseln auszunutzen, um sich im Netzwerk zu verbreiten. Er ist außerdem Dateilos, was die statische Erkennung erschweren kann.
Kevin Bocek, Chief Innovation Officer bei Venafi kommentiert den Vorfall wie folgt:
„SSH-Snake könnte angesichts der hohen Privilegien, die SSH-Schlüssel genießen, schwerwiegende Folgen haben. SSH-Snake wurde mit der Absicht entwickelt, Unternehmen dabei zu helfen, Lücken in der Verteidigung zu finden. Allerdings ist es ein zweischneidiges Schwert, wenn SSH-Schlüssel nicht effektiv verwaltet werden. Der Wurm ist in der Lage, SSH-Anmeldedaten selbst zu verändern und auszunutzen, und könnte in den Händen von Angreifern sehr gefährlich werden.
SSH-Schlüssel laufen nicht ab wie andere Maschinenidentitäten, und sie werden häufig missverstanden. Das bedeutet, dass eine kompromittierte Identität lange Zeit - Monate oder sogar Jahre - missbraucht werden kann, ohne dass eine Organisation davon erfährt, was sie zu einer Goldgrube für Opportunisten macht.
Ein mit SSH-Snake bewaffneter Angreifer könnte mühelos Netzwerke durchdringen, Verbindungen abfangen und sich Zugang zur Unternehmensinfrastruktur verschaffen. Seine subtilen Code-Modifikationen machen ihn praktisch unentdeckbar. Untersuchungen zeigen, dass 2020 mehr als ein Drittel (37%) der dort befragten CIOs angaben, dass sie keinen Einblick in den Verbleib von SSH in ihren Netzwerken haben.
Angesichts der zunehmenden Nutzung von SSH in Cloud-Umgebungen, Containern und automatisierten Arbeitsabläufen ist diese Zahl wahrscheinlich noch höher als heute. Dieser Mangel an Übersicht ist beunruhigend, wenn man bedenkt, dass diese kritischen Maschinenidentitäten überall verwendet werden, von Firewalls und Routern bis hin zu Unix- oder Linux-Systemen.
Um Bedrohungen zu bekämpfen, die von Tools wie SSH-Snake ausgehen könnten, müssen Unternehmen einen Überblick über alle ihre Maschinenidentitäten haben. Dann können sie Richtlinien festlegen und durchsetzen, die die Rotation von Maschinenidentitäten automatisieren, die sie möglicherweise ungeschützt lassen. Eine Kontrollebene zur Verwaltung und Automatisierung von Maschinenidentitäten ist eine wertvolle Unterstüzung für unterbesetzte Sicherheitsabteilungen.“