微软于2018年4月发布的1803版Windows 10当中，开始内建SSH支援，使得IT人员不再需要自备工具就能从事相关作业，但也有骇客藉由这种内建机制从事寄生攻击（LOLBin），于受害电脑建立后门。

近期SANS网路风暴中心资安研究人员发现一种新型态的SSH后门，该恶意程序利用Windows内建的OpenSSH，来建立能持续存取的管道。攻击者透过恶意DLL文件dllhost.exe来启动SSH服务，并在受害电脑设定随机连接埠来建立连线。

该恶意程序会检查系统是否已启动SSH服务，若未启动，则会读取登录档中的SSH设定，或在首次执行时随机产生新的随机连接埠并储存。接着，它会建立SSH设定档，其中包含攻击者的C2服务器资讯，并进入无限迴圈执行，以维持连线运作。

值得留意的是，为因应受害电脑可能透过浮动IP位址上网，此SSH组态包含远端转发（Remote Forward）的设定，以便攻击者能够远端控制受害者系统。只是研究人员发现骇客的设定档存在语法错误，无法正常运作。

由于OpenSSH已成为Windows内建工具，研究人员呼吁系统管理员应监控SSH相关活动，并留意是否有异常的SSH连线或设定档变更。此外，攻击者还可能会利用scp.exe来窃取资料，因此也要对该公用程序活动进行监控。

附带一提的是，有多家资安新闻网站在报导SANS网路风暴中心的发现时，恰巧都将知名的第三方SSH工具PuTTY列入这篇新闻的标题，容易让人误以为PuTTY出现资安问题，但SANS网路风暴中心的公告并未提及这项工具，事实上这起事故也与PuTTY无直接关联。採用这样的标题描述，恐有误导之嫌。