Venafi waarschuwt voor malware gericht op backdoors

Onder­zoe­kers van Venafi waar­schuwen voor het toenemend gebruik van malware gericht op het misbruiken van verborgen backdoors. Meerdere hackers­groepen inte­greren namelijk het misbruiken van SSH machine-iden­ti­teiten in hun cyber­aan­vallen. Tegen­woordig kan bijna elke hacker via het darkweb toegang krijgen tot dezelfde tech­no­logie waarmee Oekra­ïense ener­gie­cen­trales zijn plat­ge­legd, om bedrijven en over­heids­or­ga­ni­sa­ties aan te vallen. De betref­fende malware is namelijk gericht op SSH machine-iden­ti­teiten die gebruikt worden om auto­ma­tisch toegang te krijgen tot Windows, Linux en MacOS-systemen en cloud­ser­vices. Tevens verdienen een aantal cyber­cri­mi­nelen geld aan hun slacht­of­fers met het door­ver­kopen van SSH backdoors aan onder­gronds opere­rende en aan landen gere­la­teerde Advanced Persis­tent Threath (APT) groepen.

Beveiligde verbindingen tussen machines

SSH is een netwerk­pro­tocol voor bevei­ligde verbin­dingen en data­com­mu­ni­catie tussen ‘machines’, om deze remote instruc­ties te laten uitvoeren. SSH machine-iden­ti­teiten, ook wel SSH-sleutels genoemd, worden gebruikt voor het bevei­ligen van de meest uiteen­lo­pende verbin­dingen en auto­ma­ti­sche processen, waaronder het uitvoeren en managen van cloud workloads. Maar ook voor VPN-verbin­dingen en connec­ties tussen IoT-apparaten. Omdat ze toegang geven tot de meest kritische systemen van orga­ni­sa­ties, waaronder servers en databases, zijn deze sleutels bijzonder waardevol voor hackers.     Een enkele SSH-sleutel kan root-toegang bieden tot systemen en data, waardoor een aanvaller systemen kan overnemen, frau­du­leuze data kan toevoegen, of malware kan installeren.

Onzichtbaar informatie stelen en andere machines infecteren

Venafi’s onder­zoe­kers hebben een aantal aanvallen met malware geana­ly­seerd om te ontdekken waarvoor de SSH-sleutels worden gebruikt. In veel gevallen voegt de malware een SSH-sleutel van een aanvaller toe aan de lijst van geau­to­ri­seerde sleutels, waardoor deze wordt vertrouwd en de aanvaller een tijdlang onzicht­baar kan blijven. Andere malware is in staat om met brute kracht zwakke SSH-authen­ti­ca­ties te kraken om toegang te krijgen tot target appa­ra­tuur en waar­de­volle infor­matie, of meer machines in het netwerk te infecteren.

Voor­beelden van succes­volle campagnes uit 2019:

• Trickbot, een trojan die in 2016 voor het eerst opdook in de banken­we­reld in 2016, is inmiddels uitge­bouwd tot een flexibel inzetbare modulaire crimeware-as-a-service oplossing om bedrijven aan te vallen. Deze bevat onder andere func­ti­o­na­li­teit voor netwerk­pro­fi­le­ring, massale data­col­lectie en diverse exploi­ta­tie­mo­ge­lijk­heden. Vorig jaar is Trickbot uitge­breid met onder andere func­ti­o­na­li­teit voor het verza­melen van rechten voor zowel PuTTY (SSH-client voor Microsoft) als OpenSSH. Verder is deze malware ontworpen om infor­matie te verza­melen over host- en gebruikersnamen. 
• Cryp­to­Sink is een cryp­to­mi­ning campagne die de vijf jaar oude kwets­baar­heid (CVE-2014–3120) in Elas­tic­search-systemen op zowel Windows als Linux-plat­formen misbruikt, voor het minen van XMR-cryp­to­cur­ren­cies. Cryp­to­Sink creëert een backdoor naar de aange­vallen server door de public key van de aanvaller toe te voegen aan de lijst van vertrouwde sleutels.
• Linux Worm richt zich op het aanvallen van kwets­baar­heden in Exim-mail­ser­vers op Unix-link systemen voor het instal­leren van Monero cryp­to­cur­r­ency miners. Ook deze worm creëert zelf een backdoor op de server door een eigen public SSH-key toe te voegen aan de lijst van vertrouwde sleutels en de SSH-server indien nodig daarvoor te activeren.
• Skidmap is een kernel-mode rootkit die zichzelf eveneens toegang verschaft tot een bepaalde machine door een eigen publieke SSH-sleutel aan de geau­to­ri­seerde lijst toe te voegen. Skidmap misbruikt vervol­gens confi­gu­ra­tie­fouten of openingen naar het Internet om admi­ni­stra­tieve toegangs­con­trole over systemen te krijgen voor het instal­leren van cryp­to­mi­ning malware 

Inzicht en intelligentie

De beste verde­di­ging tegen misbruik­mo­ge­lijk­heden van SSH-sleutels is volledig inzicht in het geau­to­ri­seerde gebruik daarvan binnen de orga­ni­satie en in de cloud. Uit het onderzoek blijkt dat cyber­cri­mi­nelen niet alleen bestaande machine-iden­ti­teiten aanvallen, maar ook eigen malafide SSH-iden­ti­teiten aan de omgeving van hun targets toevoegen. Daarom volstaat het niet om alleen bekende sleutels te monitoren, maar is het ook belang­rijk andere te ontdekken en te analy­seren. Veel orga­ni­sa­ties onder­schatten echter hoe belang­rijk Machine Identity Protec­tion is voor SSH-sleutels. Ze maken nog maar zelden deel uit van de secu­ri­ty­s­tra­tegie. Omdat een aantal nooit verloopt, hebben orga­ni­sa­ties onvol­doende inzicht in welke SSH-sleutels voor welke toepas­singen worden gebruikt. Uit het onderzoek blijkt dat maar tien procent van mening is dat ze volledig inzicht en nauw­keu­rige intel­li­gentie hebben om het risico op misbruik of diefstal van SSH machine-iden­ti­teiten tot een minimum te beperken.

Gevaarlijke wapens in verkeerde handen

“SSH-sleutels kunnen gevaar­lijke wapens zijn als ze in verkeerde handen belanden”, zegt Yana Blachman, threat intel­li­gence speci­a­list bij Venafi. “Tot voor kort konden alleen de meest geavan­ceerde en goed gefi­nan­cierde hackers­groepen toegang tot tools om SS-sleutels te misbruiken. Nu beginnen die echter gemeen­goed te worden voor veel hackers. Deze trend is zorg­wek­kend omdat hackers die erin slagen een eigen backdoor te plaatsen binnen de infra­struc­tuur van hun doelen, deze toegangen kunnen exploi­teren voor misbruik door derden. Vooral door overheden gespon­sorde hackers hebben daar interesse in voor cyber­spi­o­nage of cyber­aan­vallen. De TrickBot cyber­crime-groep heeft bijvoor­beeld al een ‘bot-as-a-service’ met aanvul­lende services geleverd aan de door Noord-Korea gespon­sorde groep Lazarus, voor het stelen van digitale valuta en cyberspionage.”

Machine-identiteiten beter beschermen

“SSH-sleutels vergroten de macht van cyber­cri­mi­nelen om schade aan te richten en infor­matie te stelen, dus moet speciaal daarvoor ontwik­kelde malware voor elke orga­ni­satie een belang­rijke zorg zijn”, vervolgt Blachman. “Nu de tools toegan­ke­lijker worden, is het van cruciaal belang dat orga­ni­sa­ties zich daar beter tegen gaan beschermen. Dat kan alleen door alle aanwezige sleutels inzich­te­lijk te maken en ze daarna op een intel­li­gente wijze te blijven monitoren. Orga­ni­sa­ties doen er verstandig het gebruik van machine-iden­ti­teiten volledig inzich­te­lijk te maken om aanwij­zingen van misbruik snel te ontdekken en daarop te reageren.”