{"id":292699,"date":"2024-02-24T13:51:24","date_gmt":"2024-02-24T12:51:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292699"},"modified":"2024-02-26T12:54:39","modified_gmt":"2024-02-26T11:54:39","slug":"ssh-snake-stiehlt-ssh-schlssel","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/24\/ssh-snake-stiehlt-ssh-schlssel\/","title":{"rendered":"SSH-Snake stiehlt SSH-Schlüssel"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch eine kleine Warnung vor dem Wurm Snake, der auf die Erbeutung von SSH-Schl\u00fcsseln aus ist. Der Sch\u00e4dling\u00a0 SSH-Snake wurde vom Sysdig Threat Research Team (TRT)<\/a> entdeckt. Der selbst modifizierende Wurm nutzt SSH-Anmeldeinformationen, die auf einem kompromittierten System entdeckt wurden, um sich im gesamten Netzwerk zu verbreiten. Der Wurm durchsucht automatisch bekannte Speicherorte f\u00fcr Anmeldeinformationen und Shell-Verlaufsdateien.<\/p>\n

<\/p>\n

Die Malware wird von Bedrohungsakteuren aktiv eingesetzt. Sie ist intelligenter und zuverl\u00e4ssiger, was die Angreifer in die Lage versetzt, weiter in ein Netzwerk vorzudringen, sobald sie dort Fu\u00df gefasst haben. Der SSH-Wurm Snake versucht die grundlegende Empfehlung zum Einsatz von SSH-Schl\u00fcsseln auszunutzen, um sich im Netzwerk zu verbreiten. Er ist au\u00dferdem dateilos, was die statische Erkennung erschweren kann.<\/p>\n

Die Kollegen von Bleeping Computer haben die Tage in diesem Beitrag<\/a> vor SSH-Snake gewarnt. Der Wurm ist als OpenSource auf Github<\/a> verf\u00fcgbar. Von einer Agentur ist mir ein Kommentar von Kevin Bocek, Chief Innovation Officer bei Venafi, zugegangen, der den Sachverhalt wie folgt thematisiert:<\/p>\n

SSH-Snake k\u00f6nnte angesichts der hohen Privilegien, die SSH-Schl\u00fcssel genie\u00dfen, schwerwiegende Folgen haben. SSH-Snake wurde mit der Absicht entwickelt, Unternehmen dabei zu helfen, L\u00fccken in der Verteidigung zu finden. Allerdings ist es ein zweischneidiges Schwert, wenn SSH-Schl\u00fcssel nicht effektiv verwaltet werden. Der Wurm ist in der Lage, SSH-Anmeldedaten selbst zu ver\u00e4ndern und auszunutzen, und k\u00f6nnte in den H\u00e4nden von Angreifern sehr gef\u00e4hrlich werden. SSH-Schl\u00fcssel laufen nicht ab wie andere Maschinenidentit\u00e4ten, und sie werden h\u00e4ufig missverstanden. Das bedeutet, dass eine kompromittierte Identit\u00e4t lange Zeit – Monate oder sogar Jahre – missbraucht werden kann, ohne dass eine Organisation davon erf\u00e4hrt, was sie zu einer Goldgrube f\u00fcr Opportunisten macht.<\/p><\/blockquote>\n

Ein mit SSH-Snake bewaffneter Angreifer k\u00f6nnte m\u00fchelos Netzwerke durchdringen, Verbindungen abfangen und sich Zugang zur Unternehmensinfrastruktur verschaffen. Seine subtilen Code-Modifikationen machen ihn praktisch unentdeckbar.<\/p>\n

Untersuchungen zeigen, dass 2020<\/a> mehr als ein Drittel (37%) der dort befragten CIOs angaben, dass sie keinen Einblick in den Verbleib von SSH in ihren Netzwerken haben. Angesichts der zunehmenden Nutzung von SSH in Cloud-Umgebungen, Containern und automatisierten Arbeitsabl\u00e4ufen ist diese Zahl wahrscheinlich noch h\u00f6her als heute. Dieser Mangel an \u00dcbersicht ist beunruhigend, so die Einsch\u00e4tzung der Sicherheitsanbieter, wenn man bedenkt, dass diese kritischen Maschinenidentit\u00e4ten \u00fcberall verwendet werden, von Firewalls und Routern bis hin zu Unix- oder Linux-Systemen.<\/p>\n

Kevin Bocek meint: Um Bedrohungen zu bek\u00e4mpfen, die von Tools wie SSH-Snake ausgehen k\u00f6nnten, m\u00fcssen Unternehmen einen \u00dcberblick \u00fcber alle ihre Maschinenidentit\u00e4ten haben. Dann k\u00f6nnen sie Richtlinien festlegen und durchsetzen, die die Rotation von Maschinenidentit\u00e4ten automatisieren, die sie m\u00f6glicherweise ungesch\u00fctzt lassen. Eine Kontrollebene zur Verwaltung und Automatisierung von Maschinenidentit\u00e4ten ist eine wertvolle Unterst\u00fczung f\u00fcr unterbesetzte Sicherheitsabteilungen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch eine kleine Warnung vor dem Wurm Snake, der auf die Erbeutung von SSH-Schl\u00fcsseln aus ist. Der Sch\u00e4dling\u00a0 SSH-Snake wurde vom Sysdig Threat Research Team (TRT) entdeckt. Der selbst modifizierende Wurm nutzt SSH-Anmeldeinformationen, die auf einem kompromittierten System entdeckt wurden, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292699","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292699"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292699\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}