Onderzoek onthult waarde van backdoors hacken met SSH machine-identiteiten

Venafi

Onderzoekers van Venafi waarschuwen voor het toenemend gebruik van malware gericht op het misbruiken van verborgen backdoors. Meerdere hackersgroepen integreren namelijk het misbruiken van SSH machine-identiteiten in hun cyberaanvallen. Tegenwoordig kan bijna elke hacker via het darkweb toegang krijgen tot dezelfde technologie waarmee Oekraïense energiecentrales zijn platgelegd, om bedrijven en overheidsorganisaties aan te vallen. De betreffende malware is namelijk gericht op SSH machine-identiteiten die gebruikt worden om automatisch toegang te krijgen tot Windows, Linux en MacOS-systemen en cloudservices. Tevens verdienen een aantal cybercriminelen geld aan hun slachtoffers met het doorverkopen van SSH backdoors aan ondergronds opererende en aan landen gerelateerde Advanced Persistent Threath (APT) groepen.

Beveiligde verbindingen tussen machines

SSH is een netwerkprotocol voor beveiligde verbindingen en datacommunicatie tussen ‘machines’, om deze remote instructies te laten uitvoeren. SSH machine-identiteiten, ook wel SSH-sleutels genoemd, worden gebruikt voor het beveiligen van de meest uiteenlopende verbindingen en automatische processen, waaronder het uitvoeren en managen van cloud workloads. Maar ook voor VPN-verbindingen en connecties tussen IoT-apparaten. Omdat ze toegang geven tot de meest kritische systemen van organisaties, waaronder servers en databases, zijn deze sleutels bijzonder waardevol voor hackers. Een enkele SSH-sleutel kan root-toegang bieden tot systemen en data, waardoor een aanvaller systemen kan overnemen, frauduleuze data kan toevoegen, of malware kan installeren.

Onzichtbaar informatie stelen en andere machines infecteren

Venafi’s onderzoekers hebben een aantal aanvallen met malware geanalyseerd om te ontdekken waarvoor de SSH-sleutels worden gebruikt. In veel gevallen voegt de malware een SSH-sleutel van een aanvaller toe aan de lijst van geautoriseerde sleutels, waardoor deze wordt vertrouwd en de aanvaller een tijdlang onzichtbaar kan blijven. Andere malware is in staat om met brute kracht zwakke SSH-authenticaties te kraken om toegang te krijgen tot target apparatuur en waardevolle informatie, of meer machines in het netwerk te infecteren.  

Voorbeelden van succesvolle campagnes uit 2019

  • Trickbot, een trojan die in 2016 voor het eerst opdook in de bankenwereld, is inmiddels uitgebouwd tot een flexibel inzetbare modulaire crimeware-as-a-service oplossing om bedrijven aan te vallen. Deze bevat onder andere functionaliteit voor netwerkprofilering, massale datacollectie en diverse exploitatiemogelijkheden. Vorig jaar is Trickbot uitgebreid met onder andere functionaliteit voor het verzamelen van rechten voor zowel PuTTY (SSH-client voor Microsoft) als OpenSSH. Verder is deze malware ontworpen om informatie te verzamelen over host- en gebruikersnamen. 
  • CryptoSink is een cryptomining campagne die de vijf jaar oude kwetsbaarheid (CVE-2014-3120) in Elasticsearch-systemen op zowel Windows als Linux-platformen misbruikt, voor het minen van XMR-cryptocurrencies. CryptoSink creëert een backdoor naar de aangevallen server door de public key van de aanvaller toe te voegen aan de lijst van vertrouwde sleutels.
  • Linux Worm richt zich op het aanvallen van kwetsbaarheden in Exim-mailservers op Unix-link systemen voor het installeren van Monero cryptocurrency miners. Ook deze worm creëert zelf een backdoor op de server door een eigen public SSH-key toe te voegen aan de lijst van vertrouwde sleutels en de SSH-server indien nodig daarvoor te activeren.
  • Skidmap is een kernel-mode rootkit die zichzelf eveneens toegang verschaft tot een bepaalde machine door een eigen publieke SSH-sleutel aan de geautoriseerde lijst toe te voegen. Skidmap misbruikt vervolgens configuratiefouten of openingen naar het Internet om administratieve toegangscontrole over systemen te krijgen voor het installeren van cryptomining malware  

Inzicht en intelligentie

De beste verdediging tegen misbruikmogelijkheden van SSH-sleutels is volledig inzicht in het geautoriseerde gebruik daarvan binnen de organisatie en in de cloud. Uit het onderzoek blijkt dat cybercriminelen niet alleen bestaande machine-identiteiten aanvallen, maar ook eigen malafide SSH-identiteiten aan de omgeving van hun targets toevoegen. Daarom volstaat het niet om alleen bekende sleutels te monitoren, maar is het ook belangrijk andere te ontdekken en te analyseren. Veel organisaties onderschatten echter hoe belangrijk Machine Identity Protection is voor SSH-sleutels. Ze maken nog maar zelden deel uit van de securitystrategie. Omdat een aantal nooit verloopt, hebben organisaties onvoldoende inzicht in welke SSH-sleutels voor welke toepassingen worden gebruikt. Uit het onderzoek blijkt dat maar tien procent van mening is dat ze volledig inzicht en nauwkeurige intelligentie hebben om het risico op misbruik of diefstal van SSH machine-identiteiten tot een minimum te beperken.

Gevaarlijke wapens in verkeerde handen

"SSH-sleutels kunnen gevaarlijke wapens zijn als ze in verkeerde handen belanden”, zegt Yana Blachman, threat intelligence specialist bij Venafi. “Tot voor kort konden alleen de meest geavanceerde en goed gefinancierde hackersgroepen toegang tot tools om SSH-sleutels te misbruiken. Nu beginnen die echter gemeengoed te worden voor veel hackers. Deze trend is zorgwekkend omdat hackers die erin slagen een eigen backdoor te plaatsen binnen de infrastructuur van hun doelen, deze toegangen kunnen exploiteren voor misbruik door derden. Vooral door overheden gesponsorde hackers hebben daar interesse in voor cyberspionage of cyberaanvallen. De TrickBot cybercrime-groep heeft bijvoorbeeld al een ‘bot-as-a-service’ met aanvullende services geleverd aan de door Noord-Korea gesponsorde groep Lazarus, voor het stelen van digitale valuta en cyberspionage.”

Machine-identiteiten beter beschermen

"SSH-sleutels vergroten de macht van cybercriminelen om schade aan te richten en informatie te stelen, dus moet speciaal daarvoor ontwikkelde malware voor elke organisatie een belangrijke zorg zijn”, vervolgt Blachman. “Nu de tools toegankelijker worden, is het van cruciaal belang dat organisaties zich daar beter tegen gaan beschermen. Dat kan alleen door alle aanwezige sleutels inzichtelijk te maken en ze daarna op een intelligente wijze te blijven monitoren. Organisaties doen er verstandig het gebruik van machine-identiteiten volledig inzichtelijk te maken om aanwijzingen van misbruik snel te ontdekken en daarop te reageren.”