网络安全研究人员发现,攻击者正日益滥用流行的PuTTY SSH客户端工具,在已攻陷的网络中实施隐蔽的横向移动和数据窃取活动,仅留下可供调查人员追踪的细微取证痕迹。
取证突破口:Windows注册表残留
在近期调查中,应急响应人员在攻击者清除大部分文件系统证据后,通过Windows注册表的持久性痕迹成功追踪攻击路径。威胁行为者青睐PuTTY这类用于安全远程访问的合法工具,因其"就地取材"的特性可将恶意活动伪装成正常管理任务。
攻击手法分析
攻击者通过执行plink.exe或pscp.exe等PuTTY组件,借助SSH隧道在系统间跳转,无需部署定制恶意软件即可窃取敏感文件。近期攻击活动(例如通过SEO投毒传播Oyster后门的PuTTY下载)表明,初始感染会为攻击者创造通过HTTP POST请求实施网络渗透和数据外泄的条件。
安全专家Maurice Fielenbach研究发现,即便攻击者积极清除日志和痕迹,PuTTY仍会在注册表路径_HKCU\Software\SimonTatham\PuTTY\SshHostKeys_中保存SSH主机密钥。该位置记录了连接目标的精确IP地址、端口和指纹,形成可供追踪的"数字面包屑"。调查人员可将这些注册表项与认证日志、网络流量进行关联分析,即便在事件日志缺失的情况下也能还原攻击路径。
典型攻击组织与防御建议
DarkSide勒索软件团伙和朝鲜APT组织等威胁团体都曾采用类似SSH技术实现权限提升和持久化。2025年年中,针对Windows管理员的木马化PuTTY程序引发恶意软件传播浪潮,导致攻击者快速实现横向移动。由于PuTTY操作与正常IT工作流高度相似,检测难度较大,但异常的RDP扫描或入侵后的不规则SSH流量仍可被Darktrace等工具识别。
安全团队应通过终端检测平台建立PuTTY使用基线,重点监控注册表键值变更和非标准端口的SSH连接。Velociraptor取证工具可简化SshHostKeys注册表项查询,网络遥测技术则能标记异常数据外传模式。及时修补PuTTY漏洞(如CVE-2024-31497)可防范密钥恢复攻击,企业还需定期轮换SSH密钥并将PuTTY使用限制在授权主机白名单内,以阻断这类隐蔽攻击。
