FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员发现，攻击者正日益滥用流行的PuTTY SSH客户端工具，在已攻陷的网络中实施隐蔽的横向移动和数据窃取活动，仅留下可供调查人员追踪的细微取证痕迹。

取证突破口：Windows注册表残留

在近期调查中，应急响应人员在攻击者清除大部分文件系统证据后，通过Windows注册表的持久性痕迹成功追踪攻击路径。威胁行为者青睐PuTTY这类用于安全远程访问的合法工具，因其"就地取材"的特性可将恶意活动伪装成正常管理任务。

攻击手法分析

攻击者通过执行plink.exe或pscp.exe等PuTTY组件，借助SSH隧道在系统间跳转，无需部署定制恶意软件即可窃取敏感文件。近期攻击活动（例如通过SEO投毒传播Oyster后门的PuTTY下载）表明，初始感染会为攻击者创造通过HTTP POST请求实施网络渗透和数据外泄的条件。

安全专家Maurice Fielenbach研究发现，即便攻击者积极清除日志和痕迹，PuTTY仍会在注册表路径_HKCU\Software\SimonTatham\PuTTY\SshHostKeys_中保存SSH主机密钥。该位置记录了连接目标的精确IP地址、端口和指纹，形成可供追踪的"数字面包屑"。调查人员可将这些注册表项与认证日志、网络流量进行关联分析，即便在事件日志缺失的情况下也能还原攻击路径。

典型攻击组织与防御建议

DarkSide勒索软件团伙和朝鲜APT组织等威胁团体都曾采用类似SSH技术实现权限提升和持久化。2025年年中，针对Windows管理员的木马化PuTTY程序引发恶意软件传播浪潮，导致攻击者快速实现横向移动。由于PuTTY操作与正常IT工作流高度相似，检测难度较大，但异常的RDP扫描或入侵后的不规则SSH流量仍可被Darktrace等工具识别。

安全团队应通过终端检测平台建立PuTTY使用基线，重点监控注册表键值变更和非标准端口的SSH连接。Velociraptor取证工具可简化SshHostKeys注册表项查询，网络遥测技术则能标记异常数据外传模式。及时修补PuTTY漏洞（如CVE-2024-31497）可防范密钥恢复攻击，企业还需定期轮换SSH密钥并将PuTTY使用限制在授权主机白名单内，以阻断这类隐蔽攻击。

参考来源：

Hackers Using PuTTY for Both Lateral Movement and Data Exfiltration

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）