SSH-Snake si Pencuri SSH Key
February 22, 2024
Deskripsi
1Berdasarkan riset dari Sysdig Threat Research Team (TRT), Threat actor saat ini memanfaatkan program open source SSH-Snake sebagai malware berjenis worm yang berfungsi mengumpulkan SSH-key yang tersimpan pada perangkat server / endpoint dan secara otomatis menyebarkan diri ke perangkat lain.
Cara Kerja SSH-Snake
2
- Pada sistem terdampak, SSH-Snake akan mencari SSH Private keys.
- SSH-Snake akan mencari destination server/endpoint lain.
- Berdasarkan step 1 dan 2, SSH-Snake akan mencoba SSH key ke seluruh destination yang didapat.
- Bila SSH-Snake berhasil masuk via SSH, ulangi kembali step 1-4
Mitigasi
3
- Tidak Menyimpan SSH Private keys pada server
- Melakukan Rotate SSH keys secara rutin (beberapa referensi menyarankan setiap 45 hari)
- Menggunakan passphrases yang kuat pada SSH Keys
- Penerapan segmentasi Jaringan
- Melakukan pemeriksaan IOC file SHA256 pada server/endpoint:
a. 955ae990d1d900f97e789c6f6cb04dd954898e032e8e00fc6d4354e9508c09ae
b. 9491fa95f40a69f27ce99229be636030fdc49f315cb9c897db3b602c34a8ceda
Source:
1. https://sysdig.com/blog/ssh-snake/
2. https://www.bleepingcomputer.com/news/security/new-ssh-snakemalware-steals-ssh-keys-to-spread-across-the-network/
3. https://github.com/MegaManSec/SSH-Snake
