Bilgisayar korsanları, popüler PuTTY SSH istemcisini, gizliliği ihlal edilmiş ağlarda gizli yanal hareket ve veri sızıntısı için giderek daha fazla kötüye kullanıyor ve araştırmacıların yararlanabileceği ince adli izler bırakıyor.
Yakın zamanda yapılan bir araştırmada, saldırganlar dosya sistemi kanıtlarının çoğunu sildikten sonra müdahale ekipleri kalıcı Windows kayıt defteri yapılarına yöneldi.
Tehdit aktörleri, kötü amaçlı faaliyetleri normal yönetici görevleriyle harmanlayan “toprakla geçinme” özelliğinden dolayı, güvenli uzaktan erişim için meşru bir araç olan PuTTY’yi tercih ediyor.
Saldırganlar, SSH tünelleri aracılığıyla sistemler arasında geçiş yapmak ve özel kötü amaçlı yazılım dağıtmadan hassas dosyaları sifonlamak için plink.exe veya pscp.exe gibi PuTTY ikili dosyalarını çalıştırır.
SEO zehirli PuTTY indirmeleri gibi son kampanyalar Oyster arka kapısını sunan bu bilgiler, ilk enfeksiyonların ağ pivotlarını ve giden veri hırsızlığını nasıl mümkün kıldığını vurguluyor. HTTP POST’lar.
Maurice Fielenbach şunu buldu: Agresif günlük ve yapı temizliğine rağmen PuTTY, SSH ana bilgisayar anahtarlarını kayıt defterinde saklar. HKCU\Software\SimonTatham\PuTTY\SshHostKeys.
Bu konum, bağlantılardaki tam hedef IP’leri, bağlantı noktalarını ve parmak izlerini günlüğe kaydeder ve “dijital kırıntı izi” görevi görür. Araştırmacılar, olay günlükleri az olduğunda bile saldırganın yollarını yeniden oluşturmak için bu girişleri kimlik doğrulama günlükleri ve ağ akışlarıyla ilişkilendirir.
DarkSide fidye yazılımının ve Kuzey Kore APT’lerinin arkasındaki gruplar gibi gruplar, ayrıcalık yükseltme ve kalıcılık için benzer SSH taktiklerini kullandı.
2025’in ortasında, kötü amaçlı yazılım dalgaları, truva atı haline getirilmiş PuTTY, Windows yöneticilerini hedef alarak hızlı yanal yayılmalara olanak sağladı. PuTTY, BT iş akışlarını taklit ettiğinden tespit zorlukları ortaya çıkar, ancak anormal RDP taramaları veya ihlal sonrası düzensiz SSH trafiği genellikle Darktrace gibi araçlara işaret eder.
Güvenlik ekipleri, PuTTY kullanımını uç nokta algılama platformları, kayıt defteri anahtarlarını arama ve standart dışı bağlantı noktalarından SSH’yi izleme yoluyla temellendirmelidir. Velociraptor yapıları SshHostKey’lere yönelik sorguları basitleştirirken ağ telemetrisi olağandışı exfil modellerini işaretler.
CVE-2024-31497 gibi PuTTY güvenlik açıklarının düzeltilmesi, kalıcılığa yardımcı olan önemli kurtarma istismarlarını önler. Kuruluşlar, bu kaçamak operasyonları engellemek için SSH anahtarlarını dönüşümlü kullanmalı ve PuTTY’yi beyaz listedeki ana bilgisayarlarla kısıtlamalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
