MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1098.004: Изменение авторизованных SSH-ключей

Злоумышленники могут модифицировать файл SSH authorized_keys, чтобы обеспечить закрепление на хосте жертвы. В дистрибутивах Linux и macOS обычно используется аутентификация на основе ключей для защиты процедуры аутентификации в сеансах SSH для удаленного управления. Файл authorized_keys задает ключи SSH, которые можно использовать для входа в учетную запись пользователя, для которого настроен этот файл. Этот файл обычно находится в домашнем каталоге пользователя по пути \. Пользователи могут отредактировать конфигурационный файл SSH системы и установить для директив PubkeyAuthentication и RSAAuthentication значение "yes", чтобы аутентификация с открытым ключом и RSA была включена. Конфигурационный файл SSH обычно находится по пути /etc/ssh/sshd_config.

С помощью сценариев или команд оболочки злоумышленники могут напрямую модифицировать файлы SSH authorized_keys, добавляя в них собственные открытые ключи. В облачных средах злоумышленники могут иметь возможность изменять файл SSH authorized_keys конкретной виртуальной машины через интерфейс командной строки или REST API. Например, с помощью команды 'add-metadata' в командной строке Google Cloud злоумышленник может добавить ключи SSH в учетную запись пользователя. Аналогичным образом в Azure злоумышленник может изменить файл authorized_keys виртуальной машины с помощью запроса PATCH к API. После этого злоумышленник, обладающий соответствующим закрытым ключом, сможет войти в систему как существующий пользователь через SSH. Это также может привести к повышению привилегий, когда виртуальная машина или экземпляр будут иметь права, отличные от прав запрашивающего пользователя.

Если файлы authorized_keys изменены с помощью облачных API или интерфейсов командной строки, злоумышленник может добиться повышения привилегий на целевой виртуальной машине, если добавит ключ для пользователя с более высокими привилегиями.

Ключи SSH также могут быть добавлены к учетным записям на сетевых устройствах, например, с помощью команды ip ssh pubkey-chain в интерпретаторе командной строки сетевых устройств

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_persistence: PT-CR-447: Unix_SSH_Key_Modify: Изменение файлов пользовательских SSH-ключей

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for suspicious processes modifying the authorized_keys or /etc/ssh/sshd_config files.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments to modify the authorized_keys or /etc/ssh/sshd_config files.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Monitor for changes made to detect changes made to the authorized_keys file for each user on a system. Monitor for changes to and suspicious processes modifiying /etc/ssh/sshd_config.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

In cloud environments, ensure that only users who explicitly require the permissions to update instance metadata or configurations can do so.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Restrict access to the authorized_keys file.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Disable SSH if it is not necessary on a host or restrict SSH access for specific users/groups using /etc/ssh/sshd_config.