セキュリティ研究者の指摘によるとサイバー攻撃者が侵害後のネットワーク内で、「PuTTY」を使って横方向に移動したり、ファイルを外部に持ち出したりするケースが増えていると指摘しています。
前提
攻撃者がよく使うのは、PuTTY本体だけではありません。
plink.exe(SSHのコマンドライン接続)やpscp.exe(SCP転送)といった関連バイナリを使い、SSHトンネルを張って別端末へ移動したり、特定ファイルを吸い上げたりします。専用マルウェアを新たに落とさずに「正規ツールや既に環境に存在するツール」を利用するため、アラートの優先度が下がったり、後追いの調査が難しくなったりします。
また侵入後にファイルやイベントログなど痕跡を消去する動きがあり「どこにSSHしたのか」「どの踏み台を通ったのか」が見えにくくなります。
レジストリに残る「SshHostKeys」が調査の軸になる
LinkedInの投稿では、攻撃者が多くの痕跡を減らしていた状況でも、PuTTYが残すWindowsレジストリの情報が再構成の錨(いかり)になったと述べられています。
ポイントは、PuTTYがSSH接続先の情報をレジストリに保存することです。
具体的には HKCU\Software\SimonTatham\PuTTY\SshHostKeys にホスト鍵関連の情報が残り、調査ではここから「接続先の候補」を拾い、認証ログやネットワーク通信ログと突き合わせて、攻撃者の移動経路を組み立て直します。
ファイルが消されていても、ここにログ残っていればどこへ向かったかの復元に近づける事ができます。
初期侵入の入口として「改ざんPuTTY」が使われることもある
記事側では、PuTTYそのものが侵入後の道具として使われるだけでなく、そもそも「PuTTYのダウンロード」を装って不正なファイルを配布し、バックドア感染につなげるような流れにも触れています。
対策は最新状態へアップデート
PuTTYは広く使われているだけに、過去には脆弱性(CVE)が報告されたこともあります。今回の主題は悪用のされ方ですが、運用面では「業務で使う正規ツールだから安全」と決めつけず、配布元の統制(社内配布・正規入手経路の固定)と、定期的な更新を前提にしておくのが現実的です。
参照
投稿者:三村
セキュリティ対策Labのダークウェブの調査からセキュリティニュース、セキュリティ対策の執筆まで対応しています。 セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)やWebサイトやアプリの脆弱性診断 営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。
関連記事
EDRSilencerがエンドポイントセキュリティを回避する手段に悪用
PuTTY(パティ)で深刻な脆弱性が発生(CVE-2024-31497)
ランサムウェア グループがPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的にしている
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
CitrixがPuTTY SSHの脆弱性がXenCenterへ影響する為顧客へ対応を依頼(CVE-2024-31497)
バッファロー製の無線ルーター「WSR-1166DH」他複数製品でボット感染が急増、NICTが注意喚起
Veeam Backup & Replicationを狙うランサムウェア攻撃が発生
SonicWall、偽装されたNetExtenderアプリによる情報窃取キャンペーンを警告
VS Codeの拡張機能を悪用する画面キャプチャ型 マルウェア「Bitcoin Black」「Codo AI」
