2022年7月,在一家媒体行业公司日常 Mandiant Managed Defense 的主动威胁扫描中,网络安全供应商 Mandiant 发现了该公司正在使用木马版 PuTTY 和 KiTTY SSH 客户端,经过进一步鉴别后,确定这是一种新型鱼叉式网络钓鱼攻击。
此攻击是由 UNC4034 黑客发起,向攻击目标发送亚马逊招聘电子邮件,邮件附带WhatsApp 联系方式,被害者在 WhatsApp 添加好友后,会收到一个名为 amazon_assessment.iso 的文件包,要求安装进行工作评估。其实,该文件包含木马版 PuTTY 客户端,运行后会部署 DAVESHELL,并安装后门程序 AIRDRY.V2。
官方发布的 PuTTY 实用程序(左)和恶意版本(右)的数字签名。
比较官方分发的 PuTTY 实用程序(左)和恶意样本(右)中的 .data 部分。
执行恶意样本时显示的 PuTTY 界面。
来自芬兰的防御性网络安全开拓者——SSH,给您三大专业建议
一定要从合规来源下载软件。SSH 建议企业客户使用付费版本的软件,比如用 Tectia SSH Client/Server,以取代 OpenSSH、PuTTY 等。
在最短时间内修复问题和漏洞。作为 SSH 协议的发明者、加密标准的技术先驱,SSH 承诺在最短时间内为任何漏洞提供 bug 修复和软件升级服务,防止攻击源和减少攻击时间。而 OpenSSH 和 PuTTY 这样的免费软件是没有任何承诺服务,客户只能等待 bug 修复版本的发布更新。
SSH Tectia 量子安全(TQS)解决方案。包含了后量子密码(PQC)算法,旨在安全防范未来可能针对经典算法(如RSA、ECDH)的攻击。Tectia 量子安全的 PQC 算法被列入 NIST 标准,SSH 的软件产品更有前瞻性与竞争力。
Cyberworld 科明大同是 SSH 的中国区总代理商,欢迎咨询 SSH 产品和解决方案,我们期待您的联络!