С развитием технологий и повсеместным использованием операционных систем Windows администраторы и пользователи все чаще сталкиваются с новыми угрозами, связанными с встроенными инструментами. Одним из таких инструментов является OpenSSH, который стал стандартным компонентом Windows 10 начиная с версии 1803. Хотя этот протокол был разработан для безопасного удаленного доступа и передачи данных, злоумышленники научились использовать его в своих целях.
Описание
Недавно обнаружен вредоносный файл, загруженный на VirusTotal под именем dllhost.exe, демонстрирует, как злоумышленники могут злоупотреблять OpenSSH для создания бэкдора на зараженных компьютерах. Этот образец получил оценку 18/71 на VirusTotal, что свидетельствует о его потенциальной опасности.
Анализ поведения вредоноса показал, что он пытается воспользоваться сервисом SSHService. Если сервис не запущен, программа обращается к записи в реестре (SOFTWARE\SSHservice), чтобы найти ранее сохраненный случайный порт. Если такой записи нет (например, при первом запуске), вредонос генерирует новый порт и сохраняет его в реестре.
После этого создается файл конфигурации SSH в c:\windows\temp\config, содержащий параметры подключения к командному серверу (C2). В данном случае указан IP-адрес злоумышленников (193[.]187[.]174[.]3), имя пользователя (ugueegfueuagu17t1424acs), порт (443) и дополнительные настройки для поддержания соединения. Одна из ключевых опций - RemoteForward, которая позволяет перенаправлять трафик с удаленного сервера на локальную машину, что делает этот метод крайне опасным.
Однако в данном случае конфигурация оказалась некорректной из-за неправильного синтаксиса команды RemoteForward. Правильный формат должен включать локальный адрес и порт (RemoteForward [bind_address:]port local_address:local_port), но в файле эти параметры отсутствовали. Это помешало бэкдору работать корректно, но сам факт подобной атаки вызывает серьезные опасения.
OpenSSH давно используется злоумышленниками для различных атак, включая скрытое управление зараженными системами и кражу данных. Например, утилита scp.exe (входящая в набор OpenSSH) может применяться для незаметной передачи файлов с жертвы на сервер злоумышленников.
Хотя анализируемый образец не сработал из-за ошибки в конфигурации, он демонстрирует реальную угрозу. Злоумышленники продолжают искать способы эксплуатации легитимных инструментов, и OpenSSH - лишь один из многих примеров. В условиях, когда киберпреступники становятся все более изощренными, важно не только использовать средства защиты, но и внимательно отслеживать активность в сети, чтобы вовремя обнаружить и нейтрализовать подобные угрозы.
Индикаторы компрометации
IPv4
- 193.187.174.3
IPv4 Port Combinations
- 193.187.174.3:443
SHA256
- b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b
