Ssh…别告诉他们我不是HTTPS:攻击者如何用SSH.exe作为渗透网络的隐蔽后门
LOLBAS技术背景
Living Off the Land Binaries(LOLBins/LOLBAS)指攻击者利用操作系统合法组件达成攻击目的的技术。这类技术可规避终端防护产品检测,避免编写自定义恶意代码。
事件响应案例分析
某客户报告员工笔记本电脑出现异常行为——非工作时间从工作系统发起个人账户欺诈交易。初步调查发现域控制器存在到终端的RDP连接。通过部署Velociraptor进行网络分析,在多个Windows服务器上发现连接外部IP的可疑SSH命令。
SSH在Windows环境中的威胁演进
自2018年微软将OpenSSH纳入Windows系统后,攻击者开始利用其多功能性实施渗透。SSH不仅用于远程登录,更能建立隐蔽隧道。
攻击技术深度解析
发现的恶意SSH命令:
|
|
参数分析:
- -f:后台运行SSH进程
- -N:不执行远程命令(专用于端口转发)
- -R:建立反向隧道(将远程主机端口转发至受害网络)
- -p 443:使用HTTPS端口规避检测
- StrictHostKeyChecking=no:跳过主机密钥验证
无密码认证技术揭秘
攻击者通过服务端配置实现空密码认证:
- 在
sshd_config设置ForceCommand internal-sftp -d / - 使用
passwd -d命令清空用户密码 - 在
/etc/securetty添加ssh条目 此配置允许隧道专用用户建立连接但无法获得shell权限。
攻击链利用场景
- 通过SSH隧道代理RDP连接
- 使用proxychains+Impacket工具横向移动
- 利用Python Bloodhound进行域渗透
检测与防御方案
网络层防护:
- 应用层防火墙实施协议/端口匹配策略(如443端口仅允许HTTPS流量)
- 对非业务端口实施默认拒绝规则
- 限制SSH等管理端口的访问源
检测策略:
- 监控非常用SSH参数组合(-fNR组合应触发高置信度告警)
- 分析
known_hosts文件中带方括号的非标准端口记录(如[evil.com]:443) - 持续监控
C:\Windows\Temp目录下的伪装批处理文件
本文源自真实事件响应案例,揭示了攻击者如何滥用Windows原生组件实现持久化访问,强调了对非标准端口协议验证的重要性。