Más de 16,000 servidores comprometidos descubiertos utilizando el método de sondeo de llave de shell seguro

Un equipo de investigación internacional del Instituto Max Planck (MPI) para informática en Saarbrücken, Alemania, y la Universidad de Tecnología de Delft en los Países Bajos ha desarrollado un método para detectar huéspedes comprometidos a escala de Internet mediante la prueba de servidores con claves SSH públicas previamente observadas en las operaciones de los atacantes.

De esta manera, el equipo pudo identificar a más de 16,000 anfitriones comprometidos. Sus hallazgos han sido ahora publicado al Simposio de seguridad de USENIX 2025donde se les otorgó un premio de papel distinguido y el Premio de Defensa de Internet.

Secure Shell (SSH) es una de las herramientas más comunes utilizadas para administrar los servidores de forma remota. Proporciona un canal seguro y cifrado entre un cliente y un servidor, lo que permite a los usuarios iniciar sesión, ejecutar comandos y transferir archivos de manera segura. SSH es ampliamente utilizado por los administradores y desarrolladores del sistema para mantener y configurar sistemas remotos.

Cuando una máquina está comprometida, los atacantes a menudo instalan sus propias claves SSH para garantizar el acceso persistente. A partir de ese momento, pueden conectarse libremente y usar la máquina como lo deseen. Esta técnica es sigilosa: la contraseña legítima del usuario permanece sin cambios, por lo que las alertas típicas nunca se activan. Detectar tales compromisos a escala de Internet no es una tarea trivial.

En su trabajo presentado en el Simposio de Seguridad de Usenix 2025, una conferencia sobre seguridad informática y de red, el equipo compuesto por Cristian Munteanu, el Prof. Dr. Anja Feldmann y el Dr.-ing. Tobias Fiebig de MPI para informática y el Prof. Dr. Georgios Smaragadakis de la Universidad Tecnológica de Delft introdujo «Catch-22: descubriendo anfitriones comprometidos con claves públicas SSH».

El método se basa en una característica sutil del protocolo de autenticación de SSH. Cuando un cliente ofrece una clave pública, el servidor solo responde con un desafío criptográfico si esa clave está en su lista de claves autorizadas. Al sondear servidores con claves públicas observadas previamente en las operaciones del atacante, fue posible identificar máquinas donde esas claves se han instalado, lo que indica sistemas comprometidos. «Crucialmente, nunca completamos la autenticación, y ni siquiera conocemos las claves privadas: la respuesta con el desafío solo es suficiente», explica el primer autor Cristian Munteanu.

Los investigadores implementaron esta técnica a escala de Internet escaneando rangos de direcciones IPv4 e IPv6 con 52 claves, que podrían ser vinculadas por una compañía colaboradora desde el sector de seguridad hasta ataques de actores maliciosos como «TeamTnt», «mozi» o «fritzfrog».

Para garantizar la confiabilidad, validaron sus hallazgos en múltiples implementaciones de SSH, filtraron servidores ruidosos utilizando claves de prueba «canarias» y resultados transversales contra la inteligencia de Botnet. Una tecla «canaria» se refiere a una tecla SSH recientemente generada que no está instalada en ningún servidor y, por lo tanto, nunca debe presionar. Si un servidor responde a esta clave, se excluye de un escaneo adicional, ya que puede producir resultados poco confiables o engañosos.

Los escaneos revelaron más de dieciséis mil máquinas comprometidas en proveedores de alojamiento, empresas y redes académicas, muchas de las cuales estaban vinculadas a infraestructuras de malware conocidas.

Para hacer una contribución a la seguridad de Internet más allá de realizar las mediciones, los investigadores colaboraron con la Fundación Shadowserver y la Oficina Federal Alemana de Seguridad de la Información (BSI), así como el Equipo de Respuesta a Emergencias de la Computación para las Autoridades Federales de Alemania (Bond CERT) en función de allí. La Fundación Shadowserver es una organización sin fines de lucro que se especializa en notificaciones de seguridad a gran escala para notificar de manera responsable a los operadores de red y los equipos nacionales de respuesta a emergencias informáticas (CERTS). Los escaneos de seguimiento después de los informes de Shadowserver mostraron una clara disminución en el número de huéspedes comprometidos.

«La principal contribución de Catch-22 es demostrar que un protocolo de Internet de larga data se puede usar de nuevas formas de mejorar la defensa. La fuerza del método radica en el hecho de que los atacantes no pueden evadir fácilmente la detección al cambiar a claves aleatorias para cada anfitrión comprometido, desde la administración de miles de claves únicas en las bases grandes o las infracciones infractas para las informaciones infractas operacionalmente», dice Feldmann, Scientific Director de las Temáticas de la arquits de las Botecturas.

Al observar si los servidores reconocen las claves de atacantes conocidas, el nuevo método puede descubrir compromisos de forma remota, a escala y con muy pocos falsos positivos. Esto convierte la propia estrategia de persistencia de los atacantes en una señal confiable para los defensores y proporciona una herramienta práctica para fortalecer la seguridad de Internet.