Использование протокола Secure Shell Protocol (SSH) в сети открывает широкие возможности. В частности, он позволяет пользователю подключаться к системе через зашифрованную оболочку, проходить аутентификацию и взаимодействовать с системой. Но для этого на системах, выступающих в роли клиентов, должен быть установлен SSH-клиент, позволяющий системе инициировать SSH-соединение. Системы, выступающие в роли серверов, должны иметь программное обеспечение, позволяющее им быть SSH-серверами.
Еще по теме: Поиск следов использования AnyDesk
В среде UNIX и клиент, и сервер входят в стандартную сборку. Как правило, среды Windows, в частности Windows 10, включают SSH-клиент, но ни одна версия не включает SSH-сервер. Однако существует стороннее программное обеспечение SSH, позволяющее системам Windows быть сервером SSH.
Недавно в ходе моего форензик кейса я обнаружил, что система Windows работает как SSH-сервер. В частности, на ней был запущен Bitvise SSH. Кроме того, система находилась в Интернете, и не было нехватки людей, которые пытались взломать ее брутфорсом. К счастью для меня, были доступны журналы.
Что такое Bitvise SSH
Bitvise SSH — это коммерческий SSH-клиент и терминальная программа для операционных систем Windows. Она предоставляет безопасный удаленный доступ к серверам, маршрутизаторам и другим удаленным системам через протоколы SSH, Telnet, Rlogin и другие.
Основные возможности Bitvise SSH:
- SSH-клиент: Позволяет устанавливать зашифрованные SSH-соединения для безопасного удаленного доступа и передачи данных.
- SFTP-клиент: Обеспечивает безопасную передачу файлов через протокол SFTP (SSH File Transfer Protocol).
- Терминальная программа: Предоставляет терминальный доступ к удаленным системам для выполнения команд и скриптов.
- Менеджер SSH-ключей: Позволяет генерировать, импортировать и управлять SSH-ключами для аутентификации на удаленных системах.
- Поддержка туннелирования: Возможность создавать SSH-туннели для безопасной передачи трафика через незащищенные сети.
- Интеграция с PuTTY: Совместимость с популярным SSH-клиентом PuTTY, включая возможность использовать конфигурационные файлы PuTTY.
- Мастер подключений: Упрощает процесс настройки и сохранения подключений к удаленным системам.
Биtvise SSH является проприетарным программным обеспечением, предлагающим бесплатную версию для некоммерческого использования и коммерческие лицензии для бизнес-пользователей. Это популярный инструмент для системных администраторов, разработчиков и других профессионалов, которым требуется безопасный удаленный доступ к серверам и устройствам через SSH и другие протоколы.
Следы использования Bitvise SSH на Windows
По умолчанию журналы можно найти в этом каталоге:
1 |
%SystemDrive%\program files\Bitvise SSH Server\logs |
Журнал будет вестись до тех пор, пока не достигнет 10 МБ, а затем будет создан новый журнал в том же каталоге.
Журналы имеют текстовый формат XML и могут быть просмотрены любым текстовым редактором. К сожалению, в нынешнем виде это не очень удобно. К счастью на GitHub нашелся удобный инструмент для парсинга, который преобразует данные в удобоваримый формат, чтобы аналитик имел возможность быстро разобраться в них, что в конечном итоге облегчает его работу. Парсер можно скачать здесь.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как найти артефакты Windows
- Как извлечь данные из браузера
- Где находятся файлы Telegram WhatsApp Viber на компьютере