SHOE RACK
Az angol Nemzeti Kiberbiztonsági Központ (NCSC) SHOE RACK nevű, poszt‑exploitációs eszközről készített jelentése szerint a Linux platformokon futó, Go nyelven készült, UPX-tömörített program SSH-alapú támadási funkciókat biztosít a támadók számára.
A SHOE RACK különlegessége, hogy DNS-over-HTTPS segítségével kinyeri egy előre megadott C2 szerver IP-címét, majd az SSH protokollt használva alakít ki titkosított alagutat. Ezzel távoli shell-hozzáférést és TCP tunnelt hoz létre a fertőzött rendszer felhasználásával. Hamis SSH verziót (SSH‑1.1.3) ad elő, ami egyedi hálózati ujjlenyomatként azonosítható lehet.
A műveleti lehetőségek között szerepel a hagyományos SSH-interakció (SFTP, shell) és egy nem‑szabványos, jump névvel ellátott csatorna is, amely révén a C2 szerver képes reverse tunnelket indítani – mindezt ugyanazon SSH-kapcsolaton keresztül, így elkerüli az új hálózati kapcsolatok létrehozását.
A fertőzött eszközön futó kód tiltja a szakértői vizsgálatot, és a tömörítési eljárásával részben elrejti valódi struktúráját, ugyanakkor a hálózati kommunikáció stílusa (hamis SSH verzió, DOH-alapú DNS-lekérés) egyedi, könnyen felismerhető mintázat. Az NCSC YARA-szabályokat is mellékelt, amelyek ezen fingerprint-ek alapján megbízhatóan szűrik ki a SHOE RACK jelenlétét. A program elsősorban FortiGate 100D tűzfalak ellen irányulhat, potenciálisan a hálózati sávszélesség‑előre‑pivotálás céljából.