NCSC发现针对FortiGate防火墙的隐蔽反向SSH与DoH后渗透工具

英国国家网络安全中心（NCSC）近日发现一款名为SHOE RACK的新型恶意软件工具。这款后渗透恶意软件通过隐蔽的反向SSH隧道、自定义协议滥用和DNS-over-HTTPS（DoH）技术来维持远程访问并规避检测，引发了企业安全团队的高度警惕。

恶意软件来源与功能

该恶意软件最初在FortiGate 100D系列防火墙上被发现，被认为是开源NHAS反向SSH工具的修改版本，但增加了显著的后渗透功能增强。分析报告指出："SHOE RACK似乎是通过修改现有开源工具而产生的...攻击者似乎根据需要进行了修改。"

SHOE RACK是基于Go语言开发的恶意软件，使用UPX打包，以名为ldnet的二进制文件形式存在。其主要功能包括：

• 通过SSH隧道实现远程shell访问

• 在现有会话上代理TCP流量

分析披露："执行时，恶意软件会连接到一个硬编码的命令与控制（C2）URL上的自定义SSH服务器...使攻击者能够使用标准SSH功能与受害者交互。"

隐蔽的C2通信机制

与传统硬编码IP地址或执行标准DNS查询不同，SHOE RACK通过DNS-over-HTTPS查询MX记录来隐蔽地获取其命令控制服务器（phcia.duckdns[.]org）。它会随机从五个受信任的DoH解析器中选择，包括：

• dns.google.com (8.8.8.8)

• cloudflare-dns.com (1.1.1.1)

• dns.nextdns.io

• quad9.net

• doh.opendns.com

这种设计使SHOE RACK的基础设施能够抵抗封锁和下线，通过加密来隐藏其DNS流量。报告特别指出："SHOE RACK使用DNS-over-HTTPS（DoH）来定位其C2服务器的IP地址。"

独特的SSH协议滥用特性

SHOE RACK最独特的特点之一是其对SSH协议的滥用方式：

• 伪造过时的SSH版本，声称支持SSH-1.1.3

• 建立SSH会话时由服务器而非客户端打开通道——这与正常行为相反

• 支持标准和非标准SSH通道，包括：

• 会话通道（session Channel）——用于shell访问和命令执行，支持exec、shell、subsystem sftp、setuid、setgid等命令

• 跳转通道（jump Channel）——攻击者控制的反向SSH隧道，重用原始恶意软件连接，使C2能够向受害者发起SSH会话。"这实际上使恶意软件成为SSH服务器...使攻击者能够通过恶意软件端点隧道传输流量"

• 直接TCP通道（direct-tcpip Channel）——用于创建从C2通过受感染主机到其他机器的完整TCP隧道，非常适合在局域网内横向移动或规避网络分段

针对性攻击策略

SHOE RACK被特别观察到针对FortiGate 100D防火墙，这些设备通常作为企业网络的边界防御部署。报告总结道："攻击者似乎试图在攻破边界设备后向局域网内横向移动。"这种有针对性的攻击策略表明其攻击目标是在已攻破的网络中进行横向移动、数据外泄或在原本安全的网络内部发起进一步攻击。

原文来自: