SHOE RACK: Новые угрозы через обратное SSH и DNS-over-HTTPS
SHOE RACK: новая угроза для брандмауэров FortiGate с использованием нестандартного SSH
Недавно выявленная вредоносная программа SHOE RACK представляет собой сложный инструмент атаки, направленный на эксплуатацию уязвимостей в брандмауэрах серии FortiGate 100D от компании Fortinet. Особенность этого ПО заключается в нетрадиционном использовании протокола Secure Shell (SSH) и протокола DNS-over-HTTPS (DOH), что усложняет обнаружение и защиту от него.
Как работает SHOE RACK?
Вредоносное ПО разработано на языке программирования Go 1.18 и демонстрирует следующие ключевые особенности:
- Использование протокола DNS-over-HTTPS (DOH) для динамического определения IP-адреса сервера управления (C2) с жестко заданным доменом
phcia.duckdns.org. - Метод обратного SSH-подключения, основанный на модифицированной версии проекта NHAS, что позволяет вредоносной программе функционировать как полноценный SSH-сервер.
- Инициирование соединения по протоколу TCP/TLS и обмен данными посредством SSH-2.0, при этом SHOE RACK маскируется под SSH версии 1.1.3 для введения в заблуждение.
Особенности взаимодействия с сервером управления
После установления SSH-соединения SHOE RACK переходит в режим ожидания открытия канала со стороны сервера C2. При этом поддерживаются два типа каналов:
- Стандартный сеансовый канал – используется для обычного обмена данными.
- Нестандартный «переходный» канал – позволяет создавать обратный SSH-туннель внутри существующего соединения, что существенно снижает вероятность обнаружения и блокировки.
Функциональные возможности и потенциал вредоносной деятельности
SHOE RACK обладает несколькими подсистемами для расширения своих возможностей, включая:
- Поддержку протокола SFTP для работы с файлами.
- Выполнение системных вызовов Linux
setgidиsetuid, что позволяет изменять права доступа в системе. - Запуск команд и создание интерактивных оболочек и псевдотерминалов для удалённого контроля.
Это свидетельствует о том, что вредоносное ПО способно проникать в локальную сеть (LAN), расширяя возможности злоумышленников по дальнейшей эксплуатации инфраструктуры.
Происхождение и методы разработки
Эксперты считают, что разработчики SHOE RACK модифицировали существующие инструменты с открытым исходным кодом, адаптируя их для скрытного и эффективного взлома сетевой инфраструктуры. Через нестандартный обмен сообщениями и динамическое определение адреса C2 злоумышленники достигают максимальной скрытности.
Заключение: необходимость усиления мер безопасности
Поведение SHOE RACK подчёркивает важность внедрения многоуровневых мер защиты и постоянного мониторинга сетевой активности. Использование обратного SSH-туннелирования и протокола DOH усложняет задачу обнаружения и нейтрализации угрозы.
SHOE RACK демонстрирует, насколько опасными становятся кибератаки, применяющие инновационные методы обхода традиционных средств защиты. Обеспечение безопасности требует не только современного ПО, но и актуальных знаний специалистов в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
