Secure Shell (SSH) - это сетевой протокол, используемый для безопасного удаленного входа в систему и других безопасных сетевых сервисов в незащищенной сети. Он часто используется для удаленного доступа к серверам и обеспечивает безопасный канал для передачи данных между компьютерами. Злоумышленники могут использовать SSH для бокового перемещения, удаленного выполнения кода и удаленного доступа.
Службы удаленного доступа: SSH
SSH можно использовать в качестве Службы удаленного доступа, поскольку она позволяет пользователям входить в систему и получать удаленный доступ к ее ресурсам. Пользователи могут подключаться к системе, на которой запущен SSH-сервер, с помощью SSH-клиента и проходить аутентификацию с помощью имени пользователя и пароля или открытого ключа. После аутентификации они могут выполнять команды и получать доступ к файлам в системе, как если бы они физически присутствовали в ней.
SSH обычно используется для удаленного управления серверами, настройки сетевых устройств и автоматизации задач. Это важный инструмент для системных администраторов и ИТ-специалистов, который широко используется в корпоративных средах.
Использование SSH злоумышленниками
Злоумышленники могут использовать SSH для различных целей в своих атакующих кампаниях. Некоторые примеры использования злоумышленниками SSH включают:
Латеральное перемещение
Злоумышленники могут использовать SSH для латерального перемещения в сети, входя в другие системы и получая доступ к их ресурсам. Это можно сделать с помощью такого инструмента, как SSH, с помощью команды, подобной следующей:
| 1 | ssh <имя пользователя>@<удаленная_система> |
Эта команда подключается к указанной удаленной системе, используя указанное имя пользователя, что позволяет злоумышленнику получить доступ к системе и потенциально перейти к другим системам.
В марте 2022 года исследователи безопасности Akamai обнаружили Panchan, новый одноранговый ботнет и SSH-червь, взламывающий Linux-серверы. Panchan представляет уникальную технику бокового перемещения, читая файлы id_rsa и known_hosts, чтобы собрать существующие учетные данные и использовать их для бокового перемещения по сети. В отличие от большинства ботнетов, он не полагается исключительно на грубую силу или атаки по словарю на случайные IP-адреса.
Удаленный доступ и выполнение команд
Злоумышленники могут использовать SSH для удаленного входа в систему и выполнения команд или скриптов как напрямую, так и через обратную оболочку.
| 1 | ssh <имя пользователя>@<удаленная_система> <команда> |
Эта команда подключается к указанной удаленной системе под указанным именем пользователя и выполняет указанную команду. Злоумышленники могут использовать этот метод для удаленного доступа к системам и выполнения действий под видом вошедших в систему пользователей.
В ходе продолжающейся с июня 2022 года атакующей кампании вредоносное ПО ботнета RapperBot используется исключительно для атак методом перебора на SSH-серверы, настроенные на прием парольной аутентификации.
Постоянство
Чтобы сохранить удаленный доступ к SSH-серверам, RapperBot выполняет следующую команду shell для замены файла /.ssh/authorized_keys удаленных жертв на файл, содержащий открытый ключ SSH злоумышленников. Таким образом, SSH также используется атакующими для обеспечения стойкости.
Распространение вредоносного ПО
Злоумышленники могут использовать SSH для распространения вредоносного ПО в целевой среде. Например, согласно совместному сообщению, опубликованному CISA, группа Daixin Team, занимающаяся вымогательством выкупа и данных, перемещается по SSH и RDP после получения доступа к VPN-серверу жертвы. Действующие лица Daixin пытались получить доступ к привилегированным учетным записям путем сброса учетных данных [T1003] и Pass-the-Hash [T1550.002]. С помощью этих привилегированных учетных записей злоумышленники получали доступ к VMware vCenter Server и сбрасывали пароли учетных записей [T1098] для серверов ESXi в среде. Затем злоумышленники использовали SSH для подключения к доступным серверам ESXi, на которых они развертывали программы-вымогатели.