网络安全研究人员近期发现,攻击者正愈发频繁地滥用一款广受欢迎的合法工具——PuTTY SSH客户端,将其作为在已攻陷网络中进行隐秘横向移动和数据窃取的利器,且仅留下极其细微的取证痕迹。
取证突破口:Windows注册表残留
在近期的安全事件调查中,应急响应人员发现,即便攻击者清除了大部分文件系统层面的证据,他们依然可以通过分析Windows注册表中的持久性痕迹来追溯攻击路径。威胁行为者之所以青睐PuTTY这类用于安全远程访问的合法工具,正是看中了其“就地取材”的特性,能够将恶意活动完美伪装成正常的系统管理任务。
攻击手法分析
攻击者利用被入侵主机上已安装或临时上传的PuTTY组件,如plink.exe(命令行连接工具)或pscp.exe(安全复制工具),通过建立SSH隧道在不同系统间悄无声息地跳转。这种方法使攻击者无需部署定制的恶意软件,即可实现敏感文件的窃取。近期的攻击活动(例如通过SEO投毒传播Oyster后门的PuTTY下载案例)表明,初始感染会为攻击者创造条件,使其能够通过看似正常的HTTP POST请求进行网络渗透和数据外泄。
安全专家Maurice Fielenbach的研究揭示了一个关键的取证线索:即使攻击者主动清除了操作日志和其他痕迹,PuTTY仍会在Windows注册表的特定路径(HKCU\Software\SimonTatham\PuTTY\SshHostKeys)中保存已连接SSH服务器的主机密钥。这个位置精确记录了连接目标的IP地址、端口以及密钥指纹,形成了可供调查人员追踪的“数字面包屑”。通过将这些注册表项与系统认证日志、网络流量数据进行关联分析,调查人员能够在事件日志缺失的情况下,有效还原攻击者的完整移动路径。
典型攻击组织与防御建议
诸如DarkSide勒索软件团伙和某些朝鲜背景的APT组织等知名威胁团体,都曾采用类似的SSH隧道技术来实现权限提升和维持持久化访问。在2025年年中,针对Windows系统管理员的木马化PuTTY程序曾引发一波恶意软件传播浪潮,导致攻击者能够迅速在网络内部实施横向移动。
由于PuTTY的操作与常规的IT运维工作流高度相似,因此检测难度极大。不过,异常的RDP扫描行为或入侵后产生的不规则SSH流量模式,仍可被高级威胁检测工具(如Darktrace)识别。
为有效防御此类攻击,企业安全团队应采取以下措施:
- 建立行为基线:通过终端检测与响应(EDR)平台监控和分析PuTTY的正常使用模式,建立行为基线。
- 加强监控:重点监控注册表
SshHostKeys键值的异常变更,以及向非标准端口发起的SSH连接。
- 利用取证工具:使用如Velociraptor等数字取证工具,可以快速查询和收集相关注册表证据,加速事件响应流程。
- 及时修补漏洞:确保使用的PuTTY版本已及时修补已知漏洞,例如可导致密钥恢复的CVE-2024-31497。
- 实施访问控制:定期轮换SSH密钥,并将PuTTY等远程管理工具的使用严格限制在授权的管理员和主机白名单之内,从源头阻断未授权的横向移动。
参考来源:
Hackers Using PuTTY for Both Lateral Movement and Data Exfiltration
https://cybersecuritynews.com/putty-lateral-movement-and-data-exfiltration/ | 
发表于 3 天前
|
查看: 1011|
回复: 0
