T1098.004: Изменение авторизованных SSH-ключей
Злоумышленники могут модифицировать файл SSH authorized_keys
, чтобы обеспечить закрепление на хосте жертвы. В дистрибутивах Linux и macOS обычно используется аутентификация на основе ключей для защиты процедуры аутентификации в сеансах SSH для удаленного управления. Файл authorized_keys
задает ключи SSH, которые можно использовать для входа в учетную запись пользователя, для которого настроен этот файл. Этот файл обычно находится в домашнем каталоге пользователя по пути \. Пользователи могут отредактировать конфигурационный файл SSH системы и установить для директив PubkeyAuthentication и RSAAuthentication значение "yes", чтобы аутентификация с открытым ключом и RSA была включена. Конфигурационный файл SSH обычно находится по пути
/etc/ssh/sshd_config
.
С помощью сценариев или команд оболочки злоумышленники могут напрямую модифицировать файлы SSH authorized_keys
, добавляя в них собственные открытые ключи. В облачных средах злоумышленники могут иметь возможность изменять файл SSH authorized_keys конкретной виртуальной машины через интерфейс командной строки или REST API. Например, с помощью команды 'add-metadata' в командной строке Google Cloud злоумышленник может добавить ключи SSH в учетную запись пользователя. Аналогичным образом в Azure злоумышленник может изменить файл authorized_keys виртуальной машины с помощью запроса PATCH к API. После этого злоумышленник, обладающий соответствующим закрытым ключом, сможет войти в систему как существующий пользователь через SSH. Это также может привести к повышению привилегий, когда виртуальная машина или экземпляр будут иметь права, отличные от прав запрашивающего пользователя.
Если файлы authorized_keys изменены с помощью облачных API или интерфейсов командной строки, злоумышленник может добиться повышения привилегий на целевой виртуальной машине, если добавит ключ для пользователя с более высокими привилегиями.
Ключи SSH также могут быть добавлены к учетным записям на сетевых устройствах, например, с помощью команды ip ssh pubkey-chain
в интерпретаторе командной строки сетевых устройств
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_persistence: PT-CR-447: Unix_SSH_Key_Modify: Изменение файлов пользовательских SSH-ключей
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for suspicious processes modifying the authorized_keys or /etc/ssh/sshd_config files. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments to modify the authorized_keys or /etc/ssh/sshd_config files. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Monitor for changes made to detect changes made to the authorized_keys file for each user on a system. Monitor for changes to and suspicious processes modifiying /etc/ssh/sshd_config. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | In cloud environments, ensure that only users who explicitly require the permissions to update instance metadata or configurations can do so. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Restrict access to the |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Disable SSH if it is not necessary on a host or restrict SSH access for specific users/groups using |
---|