정교한 기술을 활용하여 탐지되지 않은 채 네트워크에 침투하고 이동하는 새로운 멀웨어가 강력한 공격자로 부상하고있다. 시스디그 위협 연구팀(TRT)이 발견한 SSH-Snake는 특히 기업 환경에서 보안 통신의 기본인 보안 셸(SSH) 키를 악용하는 방식에서 악성 활동의 패러다임의 변화를 나타낸다.

분석가들에 의해 '스스로 수정하는 웜'으로 분류되는 SSH-Snake는 스크립트 공격과 관련된 일반적인 탐지 메커니즘을 우회하는 기능을 통해 기존 SSH 웜과 차별화된다. 예측 가능한 패턴에 의존하지 않고 다각적인 전략을 사용하여 시스템 간의 보안 연결을 설정하는 데 사용되는 디지털 자격 증명인 SSH 키를 식별하고 악용한다.

시스템에 침투하면 SSH-Snake는 셸 기록 파일과 일반적으로 이러한 자격 증명이 저장되는 일반 디렉터리를 포함한 다양한 저장소에 저장된 SSH 키를 찾기 위해 은밀한 임무를 수행하기 시작한다. 이전 버전과 달리 SSH-Snake는 코드베이스를 동적으로 수정하여 설치 공간을 최소화하고 탐지를 회피함으로써 놀라운 적응력을 보여준다.

SSH-Snake의 가장 주목할 만한 특성 중 하나는 기존의 탐지 방법을 피하면서 잠재적 공격 대상에 대한 네트워크 인프라를 꼼꼼하게 매핑하여 은밀하게 작동할 수 있다는점이다. 셸 기록 파일과 시스템 로그를 분석하여 SSH-Snake는 SSH 관련 명령을 식별하고 SSH 키의 위치 및 관련 자격 증명 등 관련 정보를 추출할 수 있다.

SSH-Snake의 차별점은 위협 행위자에게 특정 운영 목표에 맞게 조정할 수 있는 플러그 앤 플레이 툴셋을 제공하는 다목적성이다. 정찰을 위해 배포하든 네트워크 내에서 측면 이동을 위해 배포하든 SSH-Snake는 높은 수준의 적응성을 보여 줌으로 사이버 보안 전문가에게는 상당한 위협이 될 수 있다.

시스디그 분석가들에 따르면 SSH-Snake는 특히 보안 네트워크 통신의 핵심 구성 요소인 SSH 키를 표적으로 삼기 때문에 멀웨어 정교화에서 중요한 진화 단계에 해당한다고말한다. 연구원들은 약 100명의 피해자를 대상으로 한 공격 캠페인에서 SSH-Snake가 사용되는 것을 관찰했으며, 알려진 취약점을 초기 공격 벡터로 악용한 증거를 발견했다.