黑客利用免费 SSH 客户端 Putty 攻击 Windows 系统

前言

利用合法的 SSH 客户端（包括流行的 PuTTY 应用程序和 Windows 的内置 OpenSSH 实现）在受感染的系统上建立持久后门。

此次攻击表明，网络犯罪分子越来越多地利用可信的管理工具来逃避检测，同时保持对公司网络的未经授权的访问。

恶意软件利用 Windows 中的 OpenSSH

攻击者会传播带有木马病毒的PuTTY。几十年来，这款广泛使用的免费SSH客户端一直是系统和网络管理员必不可少的工具。

然而最近的分析表明，威胁行为者已经扩大了他们的策略，滥用 Windows 的原生 OpenSSH 客户端，微软从 Windows 10 版本 1803 开始将其作为默认组件集成。

Windows 中包含 OpenSSH 对于管理员来说是一个重要的里程碑，他们终于可以直接从命令提示符执行 SSH 和 SCP 命令。

然而，这种便利无意中为攻击者提供了新的机会，因为 SSH 工具已被归类为“Living Off the Land Binaries”（LOLBIN）——可以用于恶意目的的合法系统工具。

该工具从 1803 版本开始成为 Windows 的默认组件，因此对于试图将恶意活动与合法系统进程相结合的威胁行为者来说，它成为了一个有吸引力的目标。

上传到 VirusTotal 的文件名为“dllhost.exe”（SHA256：b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b）的恶意样本获得了 18/71 的检测分数，凸显了识别此类攻击的挑战性。

该恶意软件专门针对位于“C:WindowsSystem32OpenSSHssh.exe”的Windows OpenSSH客户端来实现后门机制。

攻击序列始于恶意软件尝试在受感染系统上启动现有的“SSHService”服务。如果首次尝试失败，恶意软件将读取“SOFTWARESSHservice”注册表项，以访问先前存储的随机端口号。在首次执行期间，恶意软件会生成一个随机端口并将其保存到注册表中以备将来使用。

该恶意软件会创建一个复杂的 SSH 配置文件，用于与攻击者的命令与控制 (C2) 基础设施建立通信。该配置文件存储在“c:windowstempconfig”下，其中包含用于维持持久访问的特定参数：

该配置指定 IP 地址为 193[.]187[.]174[.]3 的命令和控制服务器使用端口 443，故意模仿合法的 HTTPS 流量以避免引起怀疑。

SSH 配置包括几个旨在维持持久连接的技术参数：ServerAliveInterval 60 和 ServerAliveCountMax 15 确保连接保持活动状态，而 StrictHostKeyChecking 不会绕过可能向用户发出未经授权连接警报的安全验证程序。

该恶意软件还实现了 RemoteForward 指令，但安全研究人员指出，配置语法包含可能影响功能的错误。

后门通过无限循环机制运行，在连接尝试之间执行延长的睡眠周期。

这种行为模式有助于恶意软件逃避监控快速、重复网络连接的行为分析工具。

每次迭代都尝试使用恶意配置文件启动合法的 ssh.exe 进程，从而有效地将 Windows 自己的安全工具转向系统。

缓解措施

这种攻击技术代表了“离地攻击”（LOLBIN）的一种日益增长的趋势，其中合法的系统二进制文件被用于恶意目的。

鉴于OpenSSH在 Windows 环境中的广泛部署以及系统管理员合法使用它执行远程管理任务，其滥用尤其令人担忧。

安全团队应该对 SSH 相关活动实施全面监控，特别关注不寻常的配置文件、与外部 SSH 服务器的意外网络连接以及与 SSH 服务相关的注册表修改。

组织还应考虑实施应用程序白名单和行为监控解决方案，以检测在恶意环境中使用的合法工具。

该事件强调了监控具有网络通信功能的本机 Windows 工具的重要性，因为攻击者继续利用这些合法系统组件中固有的信任来维持持续访问，同时逃避传统的安全控制。