NCSC发现针对FortiGate防火墙的隐蔽反向SSH与DoH后渗透工具
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
英国国家网络安全中心发现新型恶意软件SHOE RACK,利用反向SSH隧道和DNS-over-HTTPS技术进行隐蔽远程访问。该软件基于Go语言开发,主要针对FortiGate 100D防火墙,攻击者可通过伪造SSH协议实现横向移动和数据外泄。
🎯
关键要点
-
英国国家网络安全中心发现新型恶意软件SHOE RACK,利用反向SSH隧道和DNS-over-HTTPS技术进行隐蔽远程访问。
-
SHOE RACK是基于Go语言开发,主要针对FortiGate 100D防火墙,具有显著的后渗透功能。
-
恶意软件通过SSH隧道实现远程shell访问,并在现有会话上代理TCP流量。
-
SHOE RACK使用DNS-over-HTTPS查询MX记录来隐蔽地获取其命令控制服务器,抵抗封锁和下线。
-
该恶意软件伪造过时的SSH版本,支持多种SSH通道,允许攻击者进行横向移动和数据外泄。
-
攻击者特别针对FortiGate 100D防火墙,试图在攻破边界设备后向局域网内横向移动。
❓
延伸问答
SHOE RACK恶意软件的主要功能是什么?
SHOE RACK通过SSH隧道实现远程shell访问,并在现有会话上代理TCP流量。
SHOE RACK是如何隐蔽获取命令控制服务器的?
SHOE RACK通过DNS-over-HTTPS查询MX记录来隐蔽地获取其命令控制服务器。
SHOE RACK针对哪些设备进行攻击?
SHOE RACK主要针对FortiGate 100D防火墙进行攻击。
SHOE RACK是基于什么语言开发的?
SHOE RACK是基于Go语言开发的恶意软件。
SHOE RACK如何实现横向移动?
SHOE RACK伪造过时的SSH版本,支持多种SSH通道,允许攻击者在局域网内横向移动。
SHOE RACK的攻击策略有什么特点?
SHOE RACK的攻击策略是试图在攻破边界设备后向局域网内横向移动和数据外泄。
➡️
