Sysdigは2月20日(米国時間)、「SSH-Snake: New Self-Modifying Worm Threatens Networks – Sysdig」において、ネットワークトラバーサルツール「SSH-Snake」の悪用が確認されたと報じた。Sysdigは、サイバー攻撃者がSSH-Snakeを悪用しているとして注意を呼びかけている(参考:「MegaManSec/SSH-Snake: SSH-Snake is a self-propagating, self-replicating, file-less script that automates the post-exploitation task of SSH private key and host discovery.」)。

  • SSH-Snake: New Self-Modifying Worm Threatens Networks – Sysdig

    SSH-Snake: New Self-Modifying Worm Threatens Networks – Sysdig

「SSH-Snake」とは何か?

SSH-Snakeはシステム上のSSH秘密鍵を用いて自動的にネットワークトラバーサルを実行するツールだという。SSH-Snakeを使用することで、ネットワークとその依存関係の包括的なマップを作成し、特定のシステムから侵害がどの程度拡散するかを確認できる。

Sysdigは、SSH-SnakeをシステムのSSH認証情報を利用して拡散を開始する自己改変型ワームと分析している。SSH-Snakeは既知の認証情報の場所とシェルの履歴ファイルを自動的に検索し、次の行動を決定する機能を持つ。また、従来の同種のワームと比較して、秘密鍵の検出の徹底、優れたステルス性、柔軟性、構成可能性、包括的な資格情報の検出能力を持つという。

SSH-SnakeはBashのシェルスクリプトとして記述されている。初期サイズは比較的大きいが、起動すると自身を変更(コメント、空白、不要な機能をすべて削除)して小さくする。また、あらゆるデバイスで動作するように設計されており、完全な自己複製、自己伝搬能力とファイルレスを実現しているとされる。

サイバー攻撃者による「SSH-Snake」の運用

SysdigはSSH-Snakeを用いているサイバー攻撃者のコマンド&コントロール(C2: Command and Control)サーバを発見している。このサーバから発見されたファイル名には被害者のものとみられるIPアドレスが含まれており、このアドレスからConfluence(企業向けWikiサービス)を使用しているユーザーが標的になっているとみられている。

この調査中にもファイルの増加が確認されており、SSH-Snakeによる攻撃は進行中とされる。Sysdigは確認されたファイルから、この脅威アクターによる現時点の被害者は約100名と推定している。

  • 脅威アクターのC2サーバーから確認されたファイル一覧 - 提供:Sysdig

    脅威アクターのC2サーバーから確認されたファイル一覧 - 提供:Sysdig

「SSH-Snake」への対策

SSH-Snakeはファイルレスであるため静的な検出は困難と考えられており、ランタイム検出ソリューションを使用して早期に検出し、被害を最小限に抑える必要があるとされる。SysdigはSSH-Snakeを検出する方法として、Linux Foundation傘下の「Cloud Native Computing Foundation(CNCF)」のインキュベートプロジェクト「Falco」が利用できるとしている。具体的にはFalcoのデフォルトルールからSSH-Snakeの存在を検出できるという。

Falcoはリアルタイムの多層インフラストラクチャの継続監視や、潜在的なセキュリティ侵害を特定できるセキュリティツールとして期待されている。Sysdigは企業や組織が進化する脅威をプロアクティブに防御するために、このツールを使用できるとして導入を推奨している。