Οι χάκερ καταχρώνται όλο και περισσότερο το δημοφιλές πρόγραμμα-πελάτη PuTTY SSH για κρυφή πλευρική κίνηση και διήθηση δεδομένων σε παραβιασμένα δίκτυα, αφήνοντας διακριτικά εγκληματολογικά ίχνη που μπορούν να εκμεταλλευτούν οι ερευνητές.
Σε μια πρόσφατη έρευνα, οι ανταποκριτές στράφηκαν σε επίμονα τεχνουργήματα μητρώου των Windows αφού οι εισβολείς διέγραψαν τα περισσότερα στοιχεία του συστήματος αρχείων.
Οι παράγοντες απειλών ευνοούν το PuTTY, ένα νόμιμο εργαλείο για ασφαλή απομακρυσμένη πρόσβαση, λόγω της φύσης του «ζωής από τη γη», που συνδυάζει κακόβουλη δραστηριότητα με κανονικές εργασίες διαχειριστή.
Οι εισβολείς εκτελούν δυαδικά αρχεία PuTTY όπως το plink.exe ή το pscp.exe για να μεταπηδήσουν μεταξύ συστημάτων μέσω τούνελ SSH και να συλλάβουν ευαίσθητα αρχεία χωρίς να αναπτύξουν προσαρμοσμένο κακόβουλο λογισμικό.
Πρόσφατες καμπάνιες, όπως λήψεις PuTTY με δηλητηρίαση SEO που παραδίδουν την κερκόπορτα Oyster, τονίζουν τον τρόπο με τον οποίο οι αρχικές μολύνσεις επιτρέπουν την περιστροφή δικτύου και την κλοπή εξερχόμενων δεδομένων μέσω HTTP POST.
Μωρίς Φίλενμπαχ βρήκε ότι, παρά τον επιθετικό καθαρισμό αρχείων καταγραφής και τεχνουργημάτων, το PuTTY αποθηκεύει τα κλειδιά κεντρικού υπολογιστή SSH στο μητρώο στο HKCU\Software\SimonTatham\PuTTY\SshHostKeys.
Αυτή η τοποθεσία καταγράφει τις ακριβείς διευθύνσεις IP, τις θύρες και τα δακτυλικά αποτυπώματα από τις συνδέσεις, χρησιμεύοντας ως “ψηφιακό ίχνος ψίχουλας”. Οι ερευνητές συσχετίζουν αυτές τις εγγραφές με αρχεία καταγραφής ελέγχου ταυτότητας και ροές δικτύου για την ανακατασκευή των διαδρομών εισβολέα, ακόμη και όταν τα αρχεία καταγραφής συμβάντων είναι αραιά.
Ομάδες όπως αυτές που βρίσκονται πίσω από το DarkSide ransomware και τα βορειοκορεατικά APT έχουν χρησιμοποιήσει παρόμοιες τακτικές SSH για κλιμάκωση και επιμονή των προνομίων.
Στα μέσα του 2025, τα κύματα κακόβουλου λογισμικού, trojanized PuTTY στόχευσαν τους διαχειριστές των Windows, επιτρέποντας την ταχεία πλευρική εξάπλωση. Οι προκλήσεις ανίχνευσης προκύπτουν καθώς το PuTTY μιμείται τις ροές εργασίας IT, αλλά οι ανώμαλες σαρώσεις RDP ή η ακανόνιστη κυκλοφορία SSH μετά τον συμβιβασμό συχνά αποκαλύπτουν εργαλεία όπως το Darktrace.
Οι ομάδες ασφαλείας θα πρέπει να βασίζουν τη χρήση PuTTY μέσω πλατφορμών ανίχνευσης τελικού σημείου, κυνηγώντας κλειδιά μητρώου και παρακολούθησης SSH από μη τυπικές θύρες. Τα τεχνουργήματα Velociraptor απλοποιούν τα ερωτήματα για τα SshHostKeys, ενώ η τηλεμετρία δικτύου επισημαίνει ασυνήθιστα μοτίβα exfil.
Η επιδιόρθωση τρωτών σημείων PuTTY, όπως το CVE-2024-31497, αποτρέπει βασικά εκμεταλλεύσεις ανάκτησης που βοηθούν στη διατήρηση. Οι επιχειρήσεις πρέπει να περιστρέψουν τα κλειδιά SSH και να περιορίσουν το PuTTY σε κεντρικούς υπολογιστές στη λίστα επιτρεπόμενων για να αποτρέψουν αυτές τις λειτουργίες αποφυγής.
Related Posts
Χάκερ που χρησιμοποιούν Leverage Tuoni C2 Framework Tool για να παραδίδουν μυστικά ωφέλιμα φορτία στη μνήμη
Χάκερ που εκμεταλλεύονται ενεργά την ευπάθεια 7-Zip RCE στη φύση
Το νέο Multi-Platform 01flip Ransomware υποστηρίζει αρχιτεκτονική πολλαπλών πλατφορμών, συμπεριλαμβανομένων των Windows και του Linux
