Риски и угрозы внедрения OpenSSH в Windows 10

OpenSSH в Windows 10: новые угрозы и вызовы кибербезопасности

Внедрение OpenSSH в Windows 10 в качестве компонента по умолчанию открыло новые горизонты для законного использования удалённого доступа, но одновременно расширило возможности злоумышленников. Специалисты в области кибербезопасности всё чаще фиксируют случаи применения троянских версий известных инструментов, таких как Putty, для организации скрытых атак и создания бекдоров в скомпрометированных системах.

Описание инцидента с вредоносным файлом dllhost.exe

Недавно в VirusTotal был загружен файл с именем dllhost.exe (SHA256: b701272e20db5e485fe8b4f480ed05bcdba88c386d44dc4a17fe9a7b6b9c026b), помеченный как вредоносный. Анализ показал, что он использует возможности OpenSSH для создания бэкдора и включает в себя следующие ключевые действия:

• Попытка запустить уже существующую службу SSH на заражённом компьютере;
• При неудаче в запуске — чтение раздела реестра SOFTWARESSHservice для получения сохранённых конфигураций и выбора случайного порта;
• Создание конфигурационного файла с настройками подключения к серверу управления (C2) злоумышленника;
• Запись файла конфигурации в директорию c:windowstempconfig, который содержит IP-адрес C2, учетные данные пользователя, номер порта и параметры SSH;
• Работа вредоносной программы в бесконечном цикле с длительными интервалами ожидания.

Технические особенности обнаруженного вредоносного функционала

Особенно примечательно, что в ходе анализа было выявлено:

• Отсутствие работоспособности сервера C2, к которому пытается подключиться вредоносный компонент;
• Содержимое конфигурационного файла содержит синтаксические ошибки, особенно в отношении директивы RemoteForward;

Это может свидетельствовать о том, что вредоносный код находился в стадии разработки или частично повреждён, однако сам факт попыток использования OpenSSH для организации скрытого удалённого доступа вызывает серьёзные опасения.

Двойственная природа OpenSSH в Windows и последствия для безопасности

Данный инцидент подчёркивает необходимость особой бдительности при развертывании и мониторинге OpenSSH в средах Windows. Несмотря на то, что OpenSSH является мощным и важным инструментом для системных администраторов, он также предоставляет злоумышленникам расширенный функционал, включая:

• Удалённый легитимный доступ к системе;
• Возможности эксфильтрации данных с помощью таких утилит, как scp.exe;
• Установку постоянных коммуникаций с C2-серверами;

Таким образом, внедрение OpenSSH требует комплексного подхода к безопасности, включающего своевременный мониторинг, аудит конфигурационных файлов и анализ поведения служб SSH на конечных устройствах.

Рекомендации по обеспечению безопасности

• Регулярно проверять Подлинность и целостность компонентов OpenSSH;
• Контролировать активность служб SSH и журналов подключения;
• Ограничивать использование SSH только уполномоченными пользователями;
• Анализировать сетевой трафик на предмет подозрительных соединений и команд;
• Внедрять средства обнаружения вторжений и инструменты поведенческого анализа.

Как показал случай с dllhost.exe, комбинирование легитимных инструментов с вредоносными сценариями требует от экспертов и администраторов максимально тщательного подхода к управлению безопасностью в современных Windows-средах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.