SSH, ou Secure Shell, é um protocolo que se tornou indispensável para administradores de rede, gerentes de banco de dados e operadores de TI em todo o mundo. Tradicionalmente associado ao acesso ao terminal Linux, o SSH tem sido integral aos sistemas Windows desde a introdução do Windows 10, apresentando funcionalidades tanto de cliente quanto de servidor. Sua adoção generalizada, no entanto, o torna um alvo principal para criminosos cibernéticos, levando ao surgimento do SSH-Snake em janeiro de 2024. Esse malware representa uma nova e sofisticada ameaça à segurança de redes, explorando credenciais SSH fracas ou comprometidas para se propagar furtivamente por ambientes de TI.

Entendendo o SSH

O SSH é essencial para a gestão segura de sistemas remotos, oferecendo comunicação criptografada em redes inseguras. Ele possibilita a administração segura de sistemas e transferências de arquivos, atuando como um canal seguro para a execução de comandos e gestão da infraestrutura de rede.

O Surgimento do SSH-Snake

O malware SSH-Snake, descoberto em Janeiro de 2024, atua e representa uma nova e sofisticada ameaça à segurança de redes. Este script bash auto modificável explora credenciais SSH fracas ou comprometidas para se propagar furtivamente, mapeando e explorando vulnerabilidades em ambientes de TI. Para profissionais de segurança, compreender as nuances do SSH-Snake e suas implicações é crucial para a defesa eficaz.

Como o SSH-Snake Opera

A lógica por trás do funcionamento do SSH-Snake inclui características bastante observadas em códigos maliciosos tradicionais, mas que não eram comuns em scripts de ataque.  Para entender melhor o SSH-Snake, é necessário compreender as três fases distintas de operação:

1. Infiltração: O script se instala em um sistema vulnerável, geralmente por meio de ataques de força bruta ou exploração de credenciais SSH vazadas.
2. Propagação: Uma vez dentro, o SSH-Snake busca por chaves SSH privadas em diversos locais, incluindo diretórios padrão, arquivos de configuração e histórico de shell. As chaves descobertas são utilizadas para se conectar a outros sistemas na rede, expandindo a infecção.
3. Exploração e Persistência: O malware tenta instalar-se permanentemente no sistema e baixar outros malwares, como ransomware ou botnets, para fins maliciosos. É o que conhecemos como o “payload” do malware principal – usar o SSH-Snake para fazer o ataque desejado com um Ransomware, por exemplo.

Outros elementos técnicos relevantes para o SSH-Snake e que encontramos também em Códigos Maliciosos na Internet:

• Automodificação: O SSH-Snake é capaz de se modificar e reduzir seu tamanho na primeira execução, dificultando a detecção por ferramentas de segurança.
  
• Mapeamento de Rede: O script mapeia a rede, identificando sistemas conectados via SSH e suas relações, fornecendo ao invasor uma visão completa da infraestrutura.
• Evolução e Adaptação: O código do SSH-Snake é constantemente aprimorado, incorporando novas técnicas de evasão e criptografia para dificultar a análise e a resposta.

Impactos do SSH-Snake na Segurança de Rede

O SSH-Snake representa uma séria ameaça à segurança de redes, com potencial para causar danos significativos como Roubo de Dados Confidenciais, Criptografia de Dados, escravizar o computador alvo para virar Botnets e consequentemente fazer Ataques DDoS, além de Espionagem e Exfiltração de Dados.

Estratégias de Prevenção e Proteção

Assim como qualquer outro Malware, medidas de proteção e segurança são essenciais para evitar ataques e proteger a sua rede.  Desde medidas simples como o Fortalecimento de Credenciais SSH com 2FA, como atualização para a última versão do software podem ajudar a incrementar a camada de proteção.

Além disso, o uso de soluções de VPN, como a Winco CloudVPN – que permite o acesso criptografado por SSH pela nuvem – evitando que o seu servidor fique exposto ao acesso da internet, são aliados importantes nesta área.

Site da Winco Cloud VPN

O Treinamento de Conscientização é uma tarefa diária e deve ser aplicado também para os profissionais de T.I., pois a engenharia social é uma das portas de entrada para os Scammers roubar credenciais e, a partir daí, atacar os servidores.

Criptografar suas chaves SSH adiciona uma camada extra de segurança, garantindo que mesmo se alguém ganhar acesso ao seu arquivo de chave SSH privada, não poderá usá-la sem a frase secreta. Você pode criptografar uma chave SSH existente ou gerar uma nova com criptografia.

Aqui uma dica técnica de como fazer isto:

Você pode usar o comando ssh-keygen para alterar a frase secreta de uma chave SSH existente, efetivamente recriptografando-a:

#ssh-keygen -p -f ~/.ssh/id_rsa

Substitua ~/.ssh/id_rsa pelo caminho para a sua chave SSH privada. Você será solicitado a inserir a frase secreta antiga (se existir), e então será pedido para inserir uma nova frase secreta e confirmá-la.

Gerando uma Nova Chave SSH Criptografada

Ao criar uma nova chave SSH, você também pode criptografá-la com uma frase secreta. Para gerar uma nova chave SSH criptografada, execute:

#ssh-keygen -t rsa -b 4096 -C "seu_email@exemplo.com"

Por fim, ter um bom Firewall configurado evita problemas de acessos de redes não autorizadas em sua empresa. O Winco Firewall é a nossa solução corporativa que garante uma proteção de borda na sua rede e é um grande auxiliar na criação de um ambiente seguro para o seu trabalho.

Site do Winco Firewall

O SSH-Snake representa um desafio contínuo para a cibersegurança, destacando a necessidade de vigilância e atualizações regulares nas defesas. Suas técnicas avançadas de ocultação e criptografia demandam profundo conhecimento técnico para uma resposta efetiva. Além disso, a importância da colaboração entre especialistas em segurança e o compartilhamento de informações sobre ameaças emergentes são fundamentais para mitigar os riscos associados a este malware em evolução.