Onderzoekers van het Max Planckinstituut (MPI) voor informatica in Saarbrücken en de TU Delft hebben een methode ontwikkeld (pdf-document) om met kwalijke code besmette servers op internetschaal te detecteren door die met openbare SSH-sleutels te onderzoeken die eerder zijn waargenomen bij aanvallen. Op deze manier konden ze meer dan 16 000 gecompromitteerde servers achterhalen. Op een van ’s werelds toonaangevende conferenties over computersysteem- en netwerkbeveiliging, het USENIX Security Symposium 2025, kregen ze daar de Internet Defense Prize voor.
Secure Shell (SSH) is een van de meest gebruikte middelen voor het beheer van servers op afstand. Het protocol biedt een veilig, gecodeerd kanaal tussen een client en een server, waardoor gebruikers veilig kunnen inloggen, opdrachten kunnen uitvoeren en bestanden kunnen overdragen. SSH wordt veel gebruikt door systeembeheerders en ontwikkelaars voor het onderhouden en configureren van externe systemen.
Wanneer een machine wordt gecompromitteerd, installeren aanvallers vaak hun eigen SSH-sleutels om permanente toegang te garanderen. Vanaf dat moment kunnen ze vrijelijk verbinding maken en de machine gebruiken zoals ze willen. Deze techniek is heimelijk: het wachtwoord van de legitieme gebruiker blijft ongewijzigd, waardoor er nooit typische waarschuwingen worden geactiveerd. Het detecteren van dergelijke compromitteringen op internetschaal is geen eenvoudige opgave.

Op het USENIX Security Symposium 2025 in augustus presenteerde de groep -, bestaande uit Cristian Munteanu, Anja Feldmann en Tobias Fiebig van het MPI voor Informatica en Georgios Smaragadakis van de Technische Universiteit Delft – de resultaten van hun onderzoek”Catch-22: Het onthullen van gecompromitteerde hosts met behulp van openbare SSH-sleutels”.
De methode is gebaseerd op een subtiele eigenschap van het authenticatieprotocol van SSH. Wanneer een client een openbare sleutel aanbiedt, reageert de server alleen met een cryptografische uitdaging als die sleutel op de lijst met geautoriseerde sleutels staat.
Door servers te onderzoeken met openbare sleutels die eerder zijn waargenomen bij aanvallers, was het mogelijk om machines te identificeren waar die sleutels waren geïnstalleerd, wat wees op besmette systemen. “Cruciaal is dat we de authenticatie nooit voltooien en we kennen de privésleutels niet eens – de reactie met de uitdaging alleen is voldoende”, legt eerste auteur Cristian Munteanu uit.

De onderzoekers gebruikten deze techniek op internetschaal door zowel IPv4- als IPv6-adresbereiken te onderzoeken met 52 sleutels, die door een samenwerkend bedrijf uit de beveiligingssector konden worden gekoppeld aan aanvallen van kwaadwillende actoren zoals “teamtnt”, “mozi” of “fritzfrog”.

Om de betrouwbaarheid te garanderen, valideerden ze hun bevindingen over meerdere SSH-implementaties, filterden ze servers met veel ruis eruit met behulp van ‘kanarie’-testsleutels en vergeleken ze de resultaten met botnet-intelligentie. Een ‘kanarie’-sleutel verwijst naar een nieuw gegenereerde SSH-sleutel die op geen enkele server is geïnstalleerd en daarom nooit mag reageren. Als een server op deze sleutel reageert, wordt deze uitgesloten van verdere scans, omdat dit onbetrouwbare of misleidende resultaten kan opleveren.

16 000 besmette servers

Zo achterhaalden ze meer dan zestienduizend besmette machines bij internetaanbieders, bedrijven en academische netwerken, waarvan vele gekoppeld waren aan bekende kwalijke netwerken.

“De belangrijkste bijdrage van Catch-22 is het aantonen dat een al lang bestaand internetprotocol op nieuwe manieren kan worden gebruikt om de verdediging te verbeteren”, zegt Anja Feldmann. “De kracht van de methode ligt in het feit dat aanvallers detectie niet gemakkelijk kunnen ontwijken door voor elke gecompromitteerde server over te schakelen op willekeurige sleutels, aangezien het beheer van duizenden unieke sleutels in grote botnets of infrastructuren niet operationeel schaalbaar is.”
Door te observeren of servers bekende sleutels van aanvallers herkennen, kan de nieuwe methode op afstand, op grote schaal en met zeer weinig valspositieve meldingen, inbreuken opsporen. Dit maakt de eigen persistentiestrategie van de aanvallers een betrouwbaar signaal voor verdedigers en biedt een praktische tool om de internetbeveiliging te versterken.

Bron: idw-online.de