黑客利用免费SSH客户端攻击Windows系统
安全研究人员近日发现新型恶意软件活动利用合法的SSH客户端,包括流行的PuTTY应用程序和Windows内置的OpenSSH实现,在受感染的系统上建立持久的后门。该恶意软件专门针对ssh执行文件,通过操纵系统服务与注册表实现持久化:首先尝试启动 "SSHService "服务,失败后则读取注册表项SOFTWARE SSHservice获取预存的随机端口号(首次执行时生成并存储)。随后在c: windows temp config目录创建定制化SSH配置文件,与C2服务建立通信,通过伪装成HTTPS流量规避检测。