Поиск следов использования Bitvise SSH на Windows

Пентест взлом

Использование протокола Secure Shell Protocol (SSH) в сети открывает широкие возможности. В частности, он позволяет пользователю подключаться к системе через зашифрованную оболочку, проходить аутентификацию и взаимодействовать с системой. Но для этого на системах, выступающих в роли клиентов, должен быть установлен SSH-клиент, позволяющий системе инициировать SSH-соединение. Системы, выступающие в роли серверов, должны иметь программное обеспечение, позволяющее им быть SSH-серверами.

Еще по теме: Поиск следов использования AnyDesk

В среде UNIX и клиент, и сервер входят в стандартную сборку. Как правило, среды Windows, в частности Windows 10, включают SSH-клиент, но ни одна версия не включает SSH-сервер. Однако существует стороннее программное обеспечение SSH, позволяющее системам Windows быть сервером SSH.

Недавно в ходе моего форензик кейса я обнаружил, что система Windows работает как SSH-сервер. В частности, на ней был запущен Bitvise SSH. Кроме того, система находилась в Интернете, и не было нехватки людей, которые пытались взломать ее брутфорсом. К счастью для меня, были доступны журналы.

Что такое Bitvise SSH

Bitvise SSH — это коммерческий SSH-клиент и терминальная программа для операционных систем Windows. Она предоставляет безопасный удаленный доступ к серверам, маршрутизаторам и другим удаленным системам через протоколы SSH, Telnet, Rlogin и другие.

Основные возможности Bitvise SSH:

  • SSH-клиент: Позволяет устанавливать зашифрованные SSH-соединения для безопасного удаленного доступа и передачи данных.
  • SFTP-клиент: Обеспечивает безопасную передачу файлов через протокол SFTP (SSH File Transfer Protocol).
  • Терминальная программа: Предоставляет терминальный доступ к удаленным системам для выполнения команд и скриптов.
  • Менеджер SSH-ключей: Позволяет генерировать, импортировать и управлять SSH-ключами для аутентификации на удаленных системах.
  • Поддержка туннелирования: Возможность создавать SSH-туннели для безопасной передачи трафика через незащищенные сети.
  • Интеграция с PuTTY: Совместимость с популярным SSH-клиентом PuTTY, включая возможность использовать конфигурационные файлы PuTTY.
  • Мастер подключений: Упрощает процесс настройки и сохранения подключений к удаленным системам.

Биtvise SSH является проприетарным программным обеспечением, предлагающим бесплатную версию для некоммерческого использования и коммерческие лицензии для бизнес-пользователей. Это популярный инструмент для системных администраторов, разработчиков и других профессионалов, которым требуется безопасный удаленный доступ к серверам и устройствам через SSH и другие протоколы.

Следы использования Bitvise SSH на Windows

По умолчанию журналы можно найти в этом каталоге:

Журнал будет вестись до тех пор, пока не достигнет 10 МБ, а затем будет создан новый журнал в том же каталоге.

Журналы имеют текстовый формат XML и могут быть просмотрены любым текстовым редактором. К сожалению, в нынешнем виде это не очень удобно. К счастью на GitHub нашелся удобный инструмент для парсинга, который преобразует данные в удобоваримый формат, чтобы аналитик имел возможность быстро разобраться в них, что в конечном итоге облегчает его работу. Парсер можно скачать здесь.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий