2025年6月2日、セキュリティ研究者のXavier Mertens氏により、Windowsに標準搭載されているOpenSSHクライアントを悪用したバックドア型マルウェアの分析レポートが公開されました。このマルウェアは、一見すると無害なファイルとして偽装されながら、侵害されたPCに外部からのリモート操作手段を構築するという、極めて巧妙な手口を採用しています。
SSHクライアントが「裏口」に
多くの管理者にとって馴染み深いツール「PuTTY」ですが、過去にはトロイの木馬化されたバージョンが出回った事例もありました。今回の事例では、Windows 10以降で標準搭載されたOpenSSH(ssh.exe) が攻撃者によって悪用されています。
Mertens氏が発見したマルウェアは、dllhost.exeというファイル名で偽装されており、ウイルス対策エンジンのいくつかでマルウェアと判定されていました。感染した端末上での動作は次のような流れです。
マルウェアの挙動:バックドアの構築手順
このマルウェアが行う主な動作は以下のとおりです
-
SSHサービスの起動
-
まずWindowsの「SSHService」の起動を試み、起動できなければレジストリからポート情報を取得。
-
-
初回実行時のポート生成
-
初回はランダムなポート番号を生成し、レジストリに保存。
-
-
攻撃者のC2(コマンド&コントロール)設定
-
C:\Windows\Tempに、外部の攻撃サーバーへの接続設定を含むSSH構成ファイルを作成。
-
-
無限ループで接続試行
-
構成ファイルを使って定期的にssh.exeを起動、攻撃者のサーバーに接続を試みる。
-
なお、作成された設定ファイルには、以下のような内容が含まれていました
Host version
Hostname 193.187.174.3
User ugueegfueuagu17t1424acs
Port 443
RemoteForward 40909
StrictHostKeyChecking no
なぜ“ssh.exe”が狙われるのか?
この手法が厄介なのは、Windowsの正規バイナリ( (Living Off the Land Binary)を用いている点です。ssh.exe自体は信頼されたプログラムであるため、EDRやアンチウイルスソフトのような多くのセキュリティソリューションが警告を出しづらいという事情があります。
また、scp.exeのような付属ツールを使えば、感染端末内のファイルを外部に持ち出すことも容易。今回の事例は、こうした“見えない抜け道”が日常的な環境に潜んでいることを示しています。
企業として取るべき対策
本件を受け、企業の情報システム部門が取るべき対策は明確です。
-
ssh.exeやscp.exeの使用状況を監視
-
tempフォルダやレジストリの変更をログで把握
-
未使用のSSH機能は無効化、または使用制限
-
プロセス起動時のパラメータ監視を導入
これらを通じて、LOLBINを使ったステルス攻撃に対する感度を高めていくことが求められます。
参照
https://isc.sans.edu/diary/Simple+SSH+Backdoor/32000
関連記事
EDRSilencerがエンドポイントセキュリティを回避する手段に悪用
JPCERTがVolt Typhoonの攻撃キャンペーン「Operation Blotless」に関して注意喚起
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認
ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)
Veeam Backup & Replicationを狙うランサムウェア攻撃が発生
JenkinsのDockerイメージにSSHホストキー再利用の脆弱性(CVE-2025-32754,CVE-2025-32755)
中国がカナダの政府高官を狙って標的型攻撃メールを配信、ネットワーク活動も監視
Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ
