微軟於2018年4月發布的1803版Windows 10當中,開始內建SSH支援,使得IT人員不再需要自備工具就能從事相關作業,但也有駭客藉由這種內建機制從事寄生攻擊(LOLBin),於受害電腦建立後門。
近期SANS網路風暴中心資安研究人員發現一種新型態的SSH後門,該惡意程式利用Windows內建的OpenSSH,來建立能持續存取的管道。攻擊者透過惡意DLL檔案dllhost.exe來啟動SSH服務,並在受害電腦設定隨機連接埠來建立連線。
該惡意程式會檢查系統是否已啟動SSH服務,若未啟動,則會讀取登錄檔中的SSH設定,或在首次執行時隨機產生新的隨機連接埠並儲存。接著,它會建立SSH設定檔,其中包含攻擊者的C2伺服器資訊,並進入無限迴圈執行,以維持連線運作。
值得留意的是,為因應受害電腦可能透過浮動IP位址上網,此SSH組態包含遠端轉發(Remote Forward)的設定,以便攻擊者能夠遠端控制受害者系統。只是研究人員發現駭客的設定檔存在語法錯誤,無法正常運作。
由於OpenSSH已成為Windows內建工具,研究人員呼籲系統管理員應監控SSH相關活動,並留意是否有異常的SSH連線或設定檔變更。此外,攻擊者還可能會利用scp.exe來竊取資料,因此也要對該公用程式活動進行監控。
附帶一提的是,有多家資安新聞網站在報導SANS網路風暴中心的發現時,恰巧都將知名的第三方SSH工具PuTTY列入這篇新聞的標題,容易讓人誤以為PuTTY出現資安問題,但SANS網路風暴中心的公告並未提及這項工具,事實上這起事故也與PuTTY無直接關聯。採用這樣的標題描述,恐有誤導之嫌。
熱門新聞
2025-06-16
2025-06-16
2025-06-16
2025-06-13
2025-06-13
2025-06-16
2025-06-13