"Angriffe, die auf SSH zielen, nehmen zu - auch bei ganz normaler kommerzieller Malware", warnt Yana Blachmann von Venafi. Blachman ist seit letztem Sommer zuständig für den neu gegründeten Threat-Intelligence-Bereich (Sammlung und Auswertung von Bedrohungsinformationen) bei dem Spezialisten für den Schutz von Maschinenidentitäten (Mechanismen zur Etablierung von Vertrauensbeziehungen zwischen IT-Instanzen, zum Beispiel Zertifikate). Bisher, so Blachmann, sie die Kompromittierung und Manipulation von SSH-Schlüsseln die Domäne von Penetration-Testern, APT-Gruppen (Advanced Persistent Threat, langanhaltender gezielter Angriff) und nationalstaatlich finanzierten Angreifern gewesen. Inzwischen aber finde man auch Commodity-Malware - Schadsoftware "von der Stange" - für den automatisierten Diebstahl von SSH-Keys - oder, in Venafis Terminologie, SSH-basierten Maschinenidentiäten.
Mit der Kompromittierung von SSH verfolgen die Angreifer laut der Security-Forscherin zwei mögliche Ziele: Erstens könnte ein Angreifer seinen eigenen Schlüssel der SSH-Schlüsselliste hinzufügen, um sich dauerhaften Backdoor-Zugang zu einem Netzwerk zu verschaffen, etwa zur Installation weiterer Malware, für Wirtschaftsspionage etc.; zweitens sieht man bei Venafi einen neuen Schwarzmarkt für SSH-Schlüssel entstehen: "SSH-Keys könnten das nächste unter Kriminellen gehandelte Gut werden, wie heute Benutzernamen und Passwörter", so Blachmann. Das Problem: "SSH-Keys verfallen nicht", warnt die Forscherin, "Angreifer erhalten dadurch persistenten Backdoor-Zugang zu einer Umgebung, selbst über Jahrzehnte hinweg."
Die Kommerzialisierung dieses Vorgehens habe man bei Venafi bereits beobachtet: Der Banking-Trojaner TrickBot, der sich inzwischen zu einer regelrechten Malware-Infrastruktur weiterentwickelt habe, unterstützt laut Blachmann inzwischen den Credentials-Diebstahl bei PuTTY (Microsofts SSH-Client) und OpenSSH. Man habe Verbindungen von TrickBot zu Lazarus beobachtet, einer APT-Gruppe, die dem Regime in Nordkorea zugeordnet wird.
Denkbar wäre damit laut der Venafi-Forscherin, dass Kriminelle künftig TrickBot oder eine andere Malware nutzen, um automatisiert SSH-Schlüssel zu entwenden oder neue Keys auf unternehmenseigenen SSH-Listen anzulegen. Diese Fernzugriffsmöglichkeiten könnten sie dann auf dem Schwarzmarkt an Erpresser, APTs oder regierungsnahe Angeifergruppen verkaufen. "Die Lage ist exponentiell gefährlich", resümiert die Threat-Intelligence-Forscherin.
Zur Abwehr solcher Angriffe empfiehlt man bei Venafi, sich an den Empfehlungen zu orientieren, die die US-Behörde NIST (National Institiute of Standards and Technology) zum Umgang mit SSH herausgegeben hat. Ein wichtiger Schritt sei es hier, SSH-Listen nicht mehr händisch zu verwalten, sondern deren Management zu automatisieren - zum Beispiel eben mit Lösungen, wie sie Venafi offeriert.
Laut Venafi-Angaben arbeitet man in der Branche zudem an Zertifikaten für SSH, wie sie bereits von TLS-/HTTPS-geschützten Websites bekannt sind. Solche Zertifikate könnten sicherstellen, dass SSH-Zugänge nach einer bestimmten Zeit verfallen, sofern das Zertifikat nicht erneuert wird. Dies würde das Problem unbegrenzt gültiger SSH-Zugänge abstellen.
Auf Produktseite neu bei Venafi: Die SaaS-Lösung Venafi.cloud ist im Open-Beta-Stadium, man beginnt mit Services rund um TLS. Ziel sind Großunternehmen, die das TLS-Management auslagern wollen. Zudem besteht laut Kevin Bocek, Vice President Security Strategy and Threat Intelligence bei Venafi, inzwischen eine Kooperation mit HashiCorp: Öffentliche vertrauenswürdige Zertifikate seien nun mittels Venafi Secrets Engine for Vault direkt aus der HashiCorp-Lösung Vault heraus zugänglich. Des Weiteren gebe es eine Kooperation mit dem deutschen Security-Consulting-Haus Accessec, um Bosch-PLCs (Programmable Logic Controller, speicherprogrammierbare Steuerung) mit Sicherheitszertifikaten auszustatten. Dies soll helfen, vernetzte Industrieumgebungen besser zu schützen.
Weitere Informationen finden sich unter www.venafi.com.