SSH-Snake – это «самомодифицирующийся червь», отличающийся от обычных SSH-червей тем, что он избегает распространенных паттернов поведения, ассоциируемых с атаками по сценарию, обеспечивая этим большую скрытность. Также вирус активно ищет приватные ключи в различных местах, включая файлы истории команд оболочки, и использует их для распространения на новые системы после картирования сети.
По данным исследователей, вредонос уже был использован против порядка 100 жертв. Эксперты из Sysdig считают, что SSH-Snake это «эволюционный шаг» в области вредоносного ПО, поскольку он нацелен на метод безопасного соединения, широко используемый в корпоративных средах.
«Злоумышленники с каждым годом наращивают свои технические возможности для проникновения в частные сети и получения доступа к чувствительной информации. Отсюда и появление нового инструмента SSH-Snake. Сегодня многие компании обладают специализированными средствами защиты информации, которые могут засекать несанкционированную активность типа IPS, SIEM, EDR. Злоумышленники знают и учитывают наличие таких средств противодействия и все тщательнее скрывают свою активность. Поэтому, теперь на первые роли стали выходить системы защиты, обладающие модулями искусственного интеллекта, которые позволяют анализировать аномальное поведение пользователей. Одним из таких продуктов является отечественная разработка – Ankey ASAP, которая имеет в своем составе модуль UEBA, реализующий функционал анализа поведения пользователей», – говорит главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.