Hackers Sử Dụng PuTTY và OpenSSH để Triển Khai Malware trên Windows
Một chiến dịch malware tinh vi gần đây đã khai thác các công cụ hợp pháp như PuTTY và triển khai OpenSSH tích hợp trên Windows để tạo backdoor dai dẳng trên các hệ thống bị xâm nhập. Bài viết này phân tích cách thức tấn công, các kỹ thuật được sử dụng và đưa ra khuyến nghị bảo mật để phát hiện và giảm thiểu rủi ro từ các mối đe dọa này.
Khai Thác PuTTY và OpenSSH như LOLBINs
PuTTY và OpenSSH đã được phân loại là “Living Off the Land Binaries” (LOLBINs) – các công cụ hệ thống hợp pháp bị lạm dụng cho mục đích độc hại. Tin tặc sử dụng các công cụ này để qua mặt hệ thống phát hiện và duy trì quyền truy cập trái phép vào mạng doanh nghiệp. Bằng cách tận dụng các ứng dụng đáng tin cậy, các cuộc tấn công này trở nên khó phát hiện hơn so với việc triển khai mã độc trực tiếp.
Chiến Dịch Malware và Kỹ Thuật Tấn Công
Chiến dịch malware này khai thác cả PuTTY và triển khai OpenSSH tích hợp trên Windows để thiết lập backdoor dai dẳng. Dưới đây là các bước chính trong quá trình tấn công:
- Ngụy trang và khởi động dịch vụ: Malware giả mạo thành
dllhost.exevà cố gắng khởi động chương trìnhSSHServicehợp pháp. Nếu không thành công, nó sẽ đọc hoặc tạo một khóa registry (SOFTWARE\SSHservice) để lưu trữ một cổng được chọn ngẫu nhiên cho các kết nối sau này. - Thao tác Registry để duy trì trạng thái: Malware kiểm tra khóa registry để lấy số cổng được sử dụng bởi dịch vụ SSH. Nếu không tìm thấy, nó sẽ tạo và lưu một cổng ngẫu nhiên vào Windows Registry nhằm đảm bảo tính ẩn nấp và khả năng duy trì kết nối.
- Tạo tệp cấu hình SSH tùy chỉnh: Malware ghi một tệp cấu hình SSH tùy chỉnh, một kỹ thuật phổ biến trong nhiều gia đình malware để duy trì trạng thái ẩn nấp và kết nối lâu dài.
Thách Thức Trong Việc Phát Hiện
Một mẫu malware được tải lên VirusTotal với tên tệp “dllhost.exe” chỉ đạt tỷ lệ phát hiện 18/71. Điều này cho thấy sự khó khăn trong việc nhận diện các cuộc tấn công sử dụng LOLBINs và kỹ thuật ẩn nấp tinh vi.
Minh Họa Kỹ Thuật Thao Tác Registry và Cấu Hình SSH
Dưới đây là các ví dụ đơn giản hóa về cách malware thao tác trên registry và tạo tệp cấu hình SSH:
Sử Dụng Khóa Registry
Khóa registry được sử dụng để lưu trữ thông tin cổng:
HKEY_LOCAL_MACHINE\SOFTWARE\SSHserviceNếu khóa này không tồn tại, malware sẽ tạo một cổng ngẫu nhiên và lưu trữ, ví dụ:
HKEY_LOCAL_MACHINE\SOFTWARE\SSHservice\Port = 12345Tạo Tệp Cấu Hình SSH
Malware tạo một tệp cấu hình SSH tùy chỉnh để sử dụng cho các kết nối trong tương lai. Ví dụ về nội dung tệp cấu hình:
# Custom SSH config file created by malware
Host *
User myuser
Port 12345Tệp cấu hình này giúp malware duy trì kết nối SSH mà không bị phát hiện dễ dàng.
Khuyến Nghị Bảo Mật
Để phát hiện và giảm thiểu các mối đe dọa liên quan đến việc lạm dụng PuTTY và OpenSSH, các tổ chức nên áp dụng các biện pháp sau:
- Thực hiện kiểm tra tính toàn vẹn định kỳ và giám sát hành vi để phát hiện các mối đe dọa trước khi chúng thiết lập chỗ đứng dai dẳng.
- Triển khai giám sát liên tục và các chiến lược phát hiện nâng cao để bảo vệ chống lại các backdoor SSH đơn giản nhưng hiệu quả.
Việc sử dụng các công cụ hợp pháp như LOLBINs để thực hiện các cuộc tấn công ngày càng trở thành xu hướng phổ biến. Do đó, các chuyên gia bảo mật và quản trị hệ thống cần nâng cao cảnh giác và cập nhật các biện pháp phòng thủ phù hợp để bảo vệ mạng lưới tổ chức.
