Le paysage des menaces est en constante mutation. Nouvelle preuve de cette réalité, SSH-Snake est un ver sophistiqué sans fichier et qui se métamorphose au fil du temps pour mieux échapper aux boucliers défensifs.
Dans un nouveau rapport, l’éditeur Sysdig autopsie une nouvelle menace moderne qui illustre la sophistication croissante des menaces et leur dangerosité. Dénommé SSH-Snake, ce nouveau malware se répand actuellement à travers Internet et les réseaux d’entreprise en multipliant les techniques d’évasion.
Fondamentalement, SSH-Snake est un nouvel outil malveillant permettant de cartographier les réseaux informatiques. Il est capable de récupérer et utiliser les clés SSH trouvées sur les systèmes qu’il a infectés pour se propager et ainsi cartographier un réseau d’entreprise et toutes ses dépendances ainsi que les composantes qui peuvent être compromises.
SSH-Snake est une petite prouesse technologique. Il marque le retour sur le devant de la scène d’une catégorie de menaces qui a autrefois beaucoup fait parler d’elle (Melissa, Code Red, SQL Slammer, Blaster, Sasser, MyDoom) mais était quelque peu passée de mode : le vers informatique !
Les vers informatiques constituent une catégorie bien à part de malwares. Ils se différencient des virus et autres malwares par leur capacité à s’auto-reproduire et se propager seul et automatiquement à travers un réseau ou à travers Internet.
Non seulement SSH-Snake est un ver – donc capable de s’auto-dupliquer et s’auto-propager – mais il est aussi automodifiant : autrement dit, il mue, il se transforme tout seul, pour compliquer sa détection par des boucliers classiques.
Autre particularité, SSH-Snake est un malware « fileless » autrement dit sans fichier… Il se duplique en mémoire sans créer de fichiers exécutables sur les disques.
Découvert début janvier par les chercheurs de Sysdig, le malware est apparemment utilisé de façon intensive par certains groupes de hackers. Les chercheurs du Sysdig Threat Research Team ont même réussi à découvrir au moins l’un des centres de commande (serveur C2) utilisés par ces groupes. Ils y ont découvert les cartographies d’une centaine de réseaux et ont découvert que la plupart des victimes avaient été, au départ, infiltrées par le biais d’une vulnérabilité dans le logiciel Confluence.
Pour en savoir plus : SSH-Snake: New Self-Modifying Worm Threatens Networks