Getting to the root of SSH compromises: A multi-dimensional characterization of the SSH threat landscape

Abstract

The Internet has become a critical infrastructure, attracting a vast amount of activity, including malicious threats. The Secure Shell Protocol (SSH), the successor of Telnet - designed for secure machine-to-machine communication - is one of the most widely used protocols on the Internet. Due to its ubiquity, SSH has become a prime target for attackers. Over the years, SSH attacks have evolved, and their frequency has only increased. In this thesis, we investigate the nature of these attacks, including their origins, methods, and targets. We conduct a retrospective study and a longitudinal analysis using a large honeyfarm, as well as an active analysis to identify compromised SSH servers. Through a global network of honeypots, we analyze approximately 750 million SSH sessions over a three-year period. The dataset, collected from 221 honeypots across 55 countries, reveals stark variations in activity - some honeypots observe millions of connections, while others record only a few thousand. We also analyze attacker behavior, uncovering a shift toward more exploratory attacks and increased reconnaissance efforts. Additionally, attackers increasingly leverage recently registered Autonomous Systems (ASes) to store and distribute malicious files. Our findings suggest that attackers are becoming more aware of honeypot presence, with some actively seeking to evade detection. To extend our analysis, we propose a method to identify compromised SSH servers at scale. We exploit SSH's authentication behavior, where a challenge is only issued if a public key is installed. This approach neither grants access to compromised systems (unlike testing known attacker passwords), nor requires privileged access for auditing. Applying this methodology to a comprehensive Internet scan, we identify over 21,700 compromised systems across 1,649 ASes in 144 countries. These include critical infrastructure where attackers have installed at least one of 52 verified malicious SSH keys provided by a threat intelligence company. Our investigation also uncovers insights into malicious campaigns such as the "fritzfrog" IoT botnet and threat actors like "teamtnt". Moreover, we collaborate with a national CSIRT and the Shadowserver Foundation to notify affected entities and facilitate remediation efforts. We run our measurements continuously and automatically share notifications.

Das Internet hat sich zu einer kritischen Infrastruktur entwickelt und zieht eine Vielzahl von Aktivitäten an–darunter auch bösartige Bedrohungen. Das Secure Shell-Protokoll (SSH), der Nachfolger von Telnet, wurde für sichere Maschine-zu-Maschine-Kommunikation entwickelt und ist eines der am weitesten verbreiteten Protokolle im Internet. Aufgrund seiner Allgegenwärtigkeit ist SSH zu einem bevorzugten Ziel für Angreifer geworden. Im Laufe der Jahre haben sich SSH-Angriffe weiterentwickelt, und ihre Häufigkeit hat stetig zugenommen. In dieser Arbeit untersuchen wir die Eigenschaften dieser Angriffe, einschließlich ihrer Ursprünge, Methoden und Zielsysteme. Wir führen sowohl eine retrospektive Untersuchung als auch eine longitudinale Analyse unter Verwendung einer umfangreichen Honeyfarm durch, ergänzt durch eine aktive Analyse zur Identifikation kompromittierter SSH-Server. Über ein globales Netzwerk von Honeypots analysieren wir etwa 750 Millionen SSH-Sitzungen über einen Zeitraum von drei Jahren. Der Datensatz, gesammelt von 221 Honeypots in 55 Ländern, zeigt deutliche Unterschiede in Aktivitäten–einige Honeypots registrieren Millionen von Verbindungen, während andere nur wenige Tausend beobachten. Wir analysieren auch das Verhalten der Angreifer und stellen dabei eine Verschiebung hin zu explorativeren Angriffen sowie zunehmende Aufklärungsaktivitäten fest. Zudem nutzen Angreifer vermehrt kürzlich registrierte Autonome Systeme (ASes), um bösartige Dateien zu speichern und zu verbreiten. Unsere Ergebnisse deuten darauf hin, dass Angreifer sich zunehmend der Präsenz von Honeypots bewusst sind–einige versuchen sogar aktiv, einer Erkennung zu entgehen. Zur Erweiterung unserer Analyse schlagen wir eine Methode zur Identifikation kompromittierter SSH-Server im großen Maßstab vor. Dabei machen wir uns das Authentifizierungsverhalten von SSH zunutze: Eine Herausforderung für den Schlüsselaustausch wird nur dann aufgegeben, wenn ein öffentlicher Schlüssel installiert ist. Dieser Ansatz gewährt weder Zugang zu kompromittierten Systemen (anders als das Testen bekannter Angreifer-Passwörter), noch erfordert er privilegierten Zugriff zur Überprüfung. Durch Anwendung dieser Methode auf einen umfangreichen Internetscan identifizieren wir über 21.700 kompromittierte Systeme in 1.649 ASes in 144 Ländern. Darunter befinden sich auch kritische Infrastrukturen, auf denen Angreifer mindestens einen von 52 verifizierten, von einem Threat-Intelligence-Unternehmen bereitgestellten, bösartigen SSH-Schlüsseln installiert haben. Unsere Untersuchung liefert darüber hinaus Einblicke in bösartige Kampagnen wie das IoT-Botnetz fritzfrog und Akteure wie teamtnt. Zudem arbeiten wir mit einem nationalen CSIRT und der Shadowserver Foundation zusammen, um betroffene Einrichtungen zu benachrichtigen und Maßnahmen zur Schadensbegrenzung zu ermöglichen. Unsere Messungen laufen kontinuierlich, und Benachrichtigungen werden automatisch geteilt.