Makul SSH müşterilerini, hem popüler Putty uygulaması hem de Windows’un yerleşik OpenSsh uygulaması da dahil olmak üzere, tehlikeye atılmış sistemlerde kalıcı arka kapı oluşturmak için kullanan gelişmiş bir kötü amaçlı yazılım kampanyası.
Saldırı, siber suçluların, kurumsal ağlara yetkisiz erişimi sürdürürken tespitten kaçınmak için güvenilir idari araçları nasıl giderek daha fazla kullandıklarını göstermektedir.
Windows’ta OpenSsh’ten Mal -Yazılımdan yararlanıyor
Güvenlik topluluğu uzun zamandır macun truva atık versiyonlarını dağıtan saldırganların farkındadır. Yaygın olarak kullanılan bu ücretsiz SSH istemcisi, onlarca yıldır sistem ve ağ yöneticileri için önemli bir araç olarak hizmet vermiştir.
.png
)
Bununla birlikte, son SANS araştırmacılarının analizi, tehdit aktörlerinin taktiklerini Windows’un Windows 10 sürüm 1803 ile başlayarak varsayılan bir bileşen olarak entegre ettiği Windows’un yerel OpenSsh müşterisini kötüye kullanmaya yönlendirdiğini ortaya koyuyor.
OpenSsh’in Windows’a dahil edilmesi, nihayet SSH ve SCP komutlarını doğrudan komut isteminden yürütebilen yöneticiler için önemli bir kilometre taşını temsil ediyordu.
Bununla birlikte, bu kolaylık, SSH araçlarının “kara ikili dosyalarından yaşamak” (Lolbins) – kötü niyetli amaçlar için silahlandırılabilecek meşru sistem araçları olarak kategorize edildiğinden, saldırganlara yeni fırsatlar sağladı.
Bu araç, 1803 sürümüyle varsayılan bir Windows bileşeni haline geldi ve kötü niyetli etkinlikleri meşru sistem süreçleriyle harmanlamak isteyen tehdit aktörleri için çekici bir hedef haline getirdi.
SANS güvenlik araştırmacılarına göre, “dllhost.exe” (SHA256: B701272E20DB5E485FE8B4F4D44DC4A17FE9A7B6B9B9C02B17FE9A7B6B9B9C02B17FE9A7B6B9B9C02B). Bu tür saldırıları belirlemek.
Kötü amaçlı yazılım, bir arka kapı mekanizması uygulamak için “C: \ Windows \ System32 \ openssh \ ssh.exe” adresinde bulunan Windows OpenSsh istemcisini özellikle hedefler.
Saldırı dizisi, kötü amaçlı yazılımların tehlikeye atılan sistemde mevcut bir “SSHService” hizmetini başlatmaya çalışmasıyla başlar. Bu ilk deneme başarısız olursa, kötü amaçlı yazılım, daha önce depolanmış rastgele bağlantı noktası numarasına erişmek için “Software \ SSHService” de bir kayıt defteri anahtarı okur. İlk yürütme sırasında, kötü amaçlı yazılım rastgele bir bağlantı noktası oluşturur ve gelecekte kullanım için kayıt defterine kaydeder.
Kötü amaçlı yazılım, saldırganın komut ve kontrol (C2) altyapısıyla iletişim kuran gelişmiş bir SSH yapılandırma dosyası oluşturur. “C: \ windows \ temp \ config” adresinde depolanan yapılandırma dosyası, kalıcı erişimi korumak için tasarlanmış belirli parametreler içerir:
Yapılandırma, IP Adresi 193’teki komut ve kontrol sunucusunu belirtir[.]187[.]174[.]3 Port 443’ü kullanarak, şüphe önlemek için kasıtlı olarak meşru HTTPS trafiğini taklit etmek.
SSH yapılandırması, kalıcı bağlantıyı korumak için tasarlanmış çeşitli teknik parametreler içerir: ServeraliVeInterVal 60 ve ServerAlivecountMax 15, bağlantının etkin kalmasını sağlarken, StrIcThostKeyChecking hiçbir bypasking kullanıcıları yetkisiz bağlantılara karşı uyarabilecek güvenlik doğrulama prosedürlerini içerir.
Güvenlik araştırmacıları, yapılandırma sözdiziminin işlevselliği etkileyebilecek hatalar içerdiğini belirtmesine rağmen, kötü amaçlı yazılım da uzak bir yönerge uygular.
Arka kapı, bağlantı girişimleri arasında genişletilmiş uyku döngüleri gerçekleştirerek sonsuz bir döngü mekanizması ile çalışır.
Bu davranış modeli, kötü amaçlı yazılımların hızlı, tekrarlanan ağ bağlantılarını izleyen davranışsal analiz araçlarından kaçmasına yardımcı olur.
Her yineleme, kötü amaçlı yapılandırma dosyasıyla meşru SSH.exe işlemini başlatmaya çalışır ve Windows’un kendi güvenlik aracını sisteme karşı etkili bir şekilde çevirir.
Hafifletme
Bu saldırı tekniği, meşru sistem ikililerinin kötü niyetli amaçlar için silahlandırıldığı “topraktan yaşamak” (Lolbin) saldırılarının artan bir eğilimini temsil ediyor.
Openssh’in kötüye kullanılması, Windows ortamlarında yaygın olarak yerleştirilmesi ve sistem yöneticileri tarafından uzaktan yönetim görevleri için meşru kullanımı göz önüne alındığında, özellikle ilgilidir.
Güvenlik ekipleri, özellikle olağandışı yapılandırma dosyalarına, harici SSH sunucularına beklenmedik ağ bağlantılarına ve SSH hizmetleriyle ilgili kayıt defteri değişikliklerine odaklanan SSH ile ilgili faaliyetler için kapsamlı izleme uygulamalıdır.
Kuruluşlar ayrıca, kötü niyetli bağlamlarda kullanılan meşru araçları tespit edebilen uygulama beyaz listeleme ve davranışsal izleme çözümlerinin uygulanmasını düşünmelidir.
Olay, saldırganlar geleneksel güvenlik kontrollerinden kaçarken kalıcı erişimi sürdürmek için bu meşru sistem bileşenlerine yerleştirilen doğal güvenden yararlanmaya devam ettikçe, ağ iletişim yeteneklerine sahip yerel Windows araçlarının izlenmesinin öneminin altını çiziyor.
9 yılını kutlayın. Run! Tam gücünün kilidini açmak TI Arama Planı (100/300/600/1.000+ arama istekleri) ve istek kotanız iki katına çıkacaktır.