מאז הכללת OpenSSH כרכיב ברירת מחדל של Windows 10, ניצלו האקרים את נוכחותו ומנצלים אותו כ- Living Off the Land Binary (LOLBIN). משמעות הדבר היא שהאקרים משתמשים בכלי מערכת מהימנים כמו ssh.exe כדי להתחמק מגילוי וליצור גישה מתמשכת במערכת המחשוב אליה פרצו. OpenSSH הינה כלי סטנדרטי לניהול מאובטח מרחוק במערכות לינוקס ו- Windows כאחד. נוזקה חדשה במסווה של dllhost.exe, עומדת בבסיס מתקפת הסייבר הנוכחית. הנוזקה מנסה להפעיל את תוכנת SSHService הלגיטימית ואם היא לא מצליחה, היא קוראת או יוצרת מפתח רישום (SOFTWARE\SSHservice) כדי לאחסן פורט שנבחר באופן אקראי לחיבורים עתידיים. טקטיקה זו לא רק עוזרת לנוזקה לשמור על חשאיות, אלא גם מנצלת את הרישום של Windows – מנגנון נפוץ המשמש פושעי סייבר רבים.
זרימת העבודה של הנוזקה כוללת מספר שלבים טכניים:
שימוש במפתח רישום: הנוזקה בודקת מפתח רישום כדי לאחזר את מספר הפורט בו משתמש שירות SSH. אם הוא חסר, הוא יוצר ושומר פורט אקראי חדש. שימוש ברישום של Windows עבור נתוני תצורה כאלו הינו טכניקה נפוצה בקרב נוזקות שונות לצורך התמדה והתגנבות. יצירת קובץ תצורת SSH: הנוזקה כותבת קובץ תצורת SSH מותאם אישית ב- c:\windows\temp\config, תוך ציון שרת הפיקוד והבקרה (C2) של ההאקרים, אישורי המשתמש והפורט. התצורה כוללת פרמטרים כגון RemoteForward, StrictHostKeyChecking ואחרים. עם זאת, שגיאת תחביר בשורת RemoteForward הופכת את הקובץ ללא חוקי לשימוש לגיטימי ב- SSH, אך הכוונה ברורה – לאפשר העברת פורטים וגישה מרחוק. ביצוע התהליך: הנוזקה נכנסת ללולאה אינסופית ונמצאת במצב שינה לפני הפעלת ssh.exe עם קובץ התצורה הזדוני. הדבר מבטיח ניסיונות מתמשכים להתחבר לתשתית של ההאקרים.
חשוב להבין כי השימוש של ההאקרים בקבצים בינאריים של המערכת ובמפתחות רישום לגיטימיים מסבך את הגילוי. ההסתמכות של הנוזקה על התנהגות ברירת המחדל של OpenSSH, כגון העברת תהליכים חדשים והפניית קלט/פלט סטנדרטיים, יכולה לחקות פעילות ניהולית רגילה, מה שמקשה על כלי אבטחה מסורתיים להבחין בין הפעלות זדוניות לבין הפעלות לגיטימיות. יתר על כן, נוכחות מתמדת מבוססת רישום של ההאקרים במערכת המחשוב שנפרצה, היא טקטיקה מתועדת, כאשר איומים מתקדמים רבים משנים או מסתירים מפתחות רישום כדי להתחמק מהסרה ולשמור על גישה.
שילוב OpenSSH בהתקנות ברירת מחדל של Windows הרחיב את משטח ההתקפה עבור האקרים, שכעת מנצלים לרעה באופן שגרתי כלי מערכת מהימנים לנוכחות מתמדת במערכת המחשוב ולגישה סמויה. על אנשי אבטחת סייבר לנטר שינויים חריגים ברישום, בקבצי תצורה בלתי צפויים של SSH ובהפעלות חריגות של תהליכים הכוללות ssh.exe. בדיקות שלמות סדירות וניטור התנהגותי הינם חיוניים לגילוי איומי סייבר כאלו לפני שהם יכולים לבסס דריסת רגל מתמשכת. יש לציין כי הימצאותה בכל מקום וגמישותה של OpenSSH הופכים אותה לכלי רב עוצמה הן עבור מנהלי מערכת והן עבור פושעי סייבר – ניטור רציף ואסטרטגיות זיהוי מתקדמות הינן קריטיות להגנה מפני דלתות SSH אחוריות.
