近期发现一起复杂的恶意软件攻击活动,攻击者利用包括流行的PuTTY应用程序和Windows内置OpenSSH实现等合法SSH客户端,在受感染系统上建立持久后门。
该攻击表明网络犯罪分子正越来越多地利用受信任的管理工具来逃避检测,同时维持对企业网络的未授权访问。
恶意软件利用Windows系统中的OpenSSH
安全社区早已发现攻击者分发被植入木马的PuTTY版本。这款广泛使用的免费SSH客户端数十年来一直是系统和网络管理员的重要工具。
然而,SANS研究人员最新分析显示,威胁行为者已将其攻击手法扩展到滥用Windows原生OpenSSH客户端。微软从Windows 10 1803版本开始将其作为默认组件集成。
OpenSSH被纳入Windows系统对管理员而言意义重大,他们终于可以直接从命令提示符执行SSH和SCP命令。但这种便利性无意中也为攻击者提供了新机会,因为SSH工具已被归类为"Living Off the Land Binaries"(LOLBINs)——可被武器化用于恶意目的的合法系统工具。
根据SANS安全研究人员报告,一个名为"dllhost.exe"(SHA256: b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b)的恶意样本在VirusTotal上仅获得18/71的检测率,凸显了识别此类攻击的难度。
该恶意软件专门针对位于"C:WindowsSystem32OpenSSHssh.exe"的Windows OpenSSH客户端实施后门机制。
攻击流程始于恶意软件尝试启动受感染系统上现有的"SSHService"服务。如果初始尝试失败,恶意软件会读取"SOFTWARESSHservice"注册表项获取之前存储的随机端口号。首次执行时,恶意软件会生成随机端口并保存到注册表供后续使用。
恶意软件创建了一个复杂的SSH配置文件,用于与攻击者的命令控制(C2)基础设施建立通信。存储在"c:windowstempconfig"的配置文件包含专门设计用于维持持久访问的参数:
配置指定了IP地址为193[.]187[.]174[.]3、端口443的命令控制服务器,刻意模仿合法HTTPS流量以避免怀疑。
SSH配置包含多个技术参数:ServerAliveInterval 60和ServerAliveCountMax 15确保连接保持活跃,而StrictHostKeyChecking no则绕过可能提醒用户存在未授权连接的安全验证程序。
恶意软件还实现了RemoteForward指令,但安全研究人员指出配置语法存在可能影响功能的错误。
后门通过无限循环机制运行,在连接尝试之间执行延长休眠周期。
这种行为模式有助于恶意软件逃避监控快速、重复网络连接的行为分析工具。每次迭代都会尝试使用恶意配置文件启动合法的ssh.exe进程,实际上将Windows自身的安全工具变成了攻击系统的武器。
缓解措施
这种攻击技术代表了"Living off the Land"(LOLBIN)攻击的增长趋势,即合法系统二进制文件被武器化用于恶意目的。
鉴于OpenSSH在Windows环境中的广泛部署及其被系统管理员合法用于远程管理任务,其被滥用尤其令人担忧。
安全团队应对SSH相关活动实施全面监控,特别关注异常的配置文件、与外部SSH服务器的意外网络连接以及与SSH服务相关的注册表修改。
组织还应考虑实施应用程序白名单和行为监控解决方案,能够检测在恶意上下文中使用的合法工具。
该事件凸显了监控具有网络通信功能的原生Windows工具的重要性,因为攻击者继续利用对这些合法系统组件的固有信任来维持持久访问,同时逃避传统安全控制。
| 根据此次事件,江苏国骏可以为客户提供
|
推荐阅读
1
2
原文始发于微信公众号(信息安全大事件):黑客利用免费SSH客户端传播恶意软件并攻击Windows系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论