O protocolo SSH é amplamente usado por Administradores de Rede, Gerentes de Bancos de Dados e operadores de TI ao redor do mundo. Normalmente, pensamos no SSH como um acesso ao terminal do Linux, mas desde o Windows 10, temos um cliente e um servidor SSH disponível para uso em sistemas da Microsoft.
Como o SSH é amplamente conhecido e usado pelos profissionais de TI, é um alvo perfeito para os CiberCriminosos desenvolverem aplicações que possam explorar vulnerabilidades do protocolo e ganhar acesso aos servidores remotos de forma não autorizada.
É neste contexto que o malware SSH-Snake, descoberto em Janeiro de 2024, atua e representa uma nova e sofisticada ameaça à segurança de redes. Este script bash auto modificável explora credenciais SSH fracas ou comprometidas para se propagar furtivamente, mapeando e explorando vulnerabilidades em ambientes de TI. Para profissionais de segurança, compreender as nuances do SSH-Snake e suas implicações é crucial para a defesa eficaz.
A lógica por trás do funcionamento do SSH-Snake inclui características bastante observadas em códigos maliciosos tradicionais, mas que não eram comuns em scripts de ataque. Para entender melhor o SSH-Snake, é necessário Compreender as três fases distintas de operação:
- Infiltração: O script se instala em um sistema vulnerável, geralmente por meio de ataques de força bruta ou exploração de credenciais SSH vazadas.
- Propagação: Uma vez dentro, o SSH-Snake busca por chaves SSH privadas em diversos locais, incluindo diretórios padrão, arquivos de configuração e histórico de shell. As chaves descobertas são utilizadas para se conectar a outros sistemas na rede, expandindo a infecção.
- Exploração e Persistência: O malware tenta instalar-se permanentemente no sistema e baixar outros malwares, como ransomware ou botnets, para fins maliciosos. É o que conhecemos como o “payload” do malware principal - usar o SSH-Snake para fazer o ataque desejado com um Ransomware, por exemplo.
Outros elementos técnicos que são relevantes para o SSH-Snake e que encontramos também em Códigos Maliciosos na Internet:
- Automodificação: O SSH-Snake é capaz de se modificar e reduzir seu tamanho na primeira execução, dificultando a detecção por ferramentas de segurança.
- Mapeamento de Rede: O script mapeia a rede, identificando sistemas conectados via SSH e suas relações, fornecendo ao invasor uma visão completa da infraestrutura.
- Evolução e Adaptação: O código do SSH-Snake é constantemente aprimorado, incorporando novas técnicas de evasão e criptografia para dificultar a análise e a resposta.
Portanto, o SSH-Snake representa uma séria ameaça à segurança de redes, com potencial para causar danos significativos como Roubo de Dados Confidenciais, Criptografia de Dados, escravizar o computador alvo para virar Botnets e consequentemente fazer Ataques DDoS, além de Espionagem e Exfiltração de Dados.
Como se proteger do SSH-Snake:
Assim como qualquer outro Malware, medidas de proteção e segurança são essenciais para evitar ataques e proteger a sua rede. Desde medidas simples como o Fortalecimento de Credenciais SSH com 2FA, como atualização para a última versão do software podem ajudar a incrementar a camada de proteção.
Além disso, o uso de soluções de VPN, como a Winco CloudVPN - que permite o acesso criptografado por SSH pela nuvem - evitando que o seu servidor fique exposto ao acesso da internet, são aliados importantes nesta área.
O Treinamento de Conscientização é uma tarefa diária e deve ser aplicado também para os profissionais de T.I., pois a engenharia social é uma das portas de entrada para os Scammers roubar credenciais e, a partir daí, atacar os servidores.
Criptografar suas chaves SSH adiciona uma camada extra de segurança, garantindo que mesmo se alguém ganhar acesso ao seu arquivo de chave SSH privada, não poderá usá-la sem a frase secreta. Você pode criptografar uma chave SSH existente ou gerar uma nova com criptografia.
Aqui uma dica técnica de como fazer isto:
Você pode usar o comando ssh-keygen para alterar a frase secreta de uma chave SSH existente, efetivamente recriptografando-a:
#ssh-keygen -p -f ~/.ssh/id_rsa
Substitua ~/.ssh/id_rsa pelo caminho para a sua chave SSH privada. Você será solicitado a inserir a frase secreta antiga (se existir), e então será pedido para inserir uma nova frase secreta e confirmá-la.
Gerando uma Nova Chave SSH Criptografada
Ao criar uma nova chave SSH, você também pode criptografá-la com uma frase secreta. Para gerar uma nova chave SSH criptografada, execute:
#ssh-keygen -t rsa -b 4096 -C "seu_email@exemplo.com"
Por fim, ter um bom Firewall configurado evita problemas de acessos de redes não autorizadas em sua empresa. O Winco Firewall é a nossa solução corporativa que garante uma proteção de borda na sua rede e é um grande auxiliar na criação de um ambiente seguro para o seu trabalho.
O SSH-Snake representa um desafio contínuo para a cibersegurança, destacando a necessidade de vigilância e atualizações regulares nas defesas. Suas técnicas avançadas de ocultação e criptografia demandam profundo conhecimento técnico para uma resposta efetiva. Além disso, a importância da colaboração entre especialistas em segurança e o compartilhamento de informações sobre ameaças emergentes são fundamentais para mitigar os riscos associados a este malware em evolução.
WINCO SISTEMAS