T1098.004: Изменение авторизованных SSH-ключей
Злоумышленники могут модифицировать файл SSH authorized_keys, чтобы обеспечить закрепление на хосте жертвы. В дистрибутивах Linux и macOS обычно используется аутентификация на основе ключей для защиты процедуры аутентификации в сеансах SSH для удаленного управления. Файл authorized_keys задает ключи SSH, которые можно использовать для входа в учетную запись пользователя, для которого настроен этот файл. Этот файл обычно находится в домашнем каталоге пользователя по пути <user-home>/.ssh/authorized_keys. Пользователи могут отредактировать конфигурационный файл SSH системы и установить для директив PubkeyAuthentication и RSAAuthentication значение "yes", чтобы аутентификация с открытым ключом и RSA была включена. Конфигурационный файл SSH обычно находится по пути /etc/ssh/sshd_config.
С помощью сценариев или команд оболочки злоумышленники могут напрямую модифицировать файлы SSH authorized_keys, добавляя в них собственные открытые ключи. В облачных средах злоумышленники могут иметь возможность изменять файл SSH authorized_keys конкретной виртуальной машины через интерфейс командной строки или REST API. Например, с помощью команды 'add-metadata' в командной строке Google Cloud злоумышленник может добавить ключи SSH в учетную запись пользователя. Аналогичным образом в Azure злоумышленник может изменить файл authorized_keys виртуальной машины с помощью запроса PATCH к API. После этого злоумышленник, обладающий соответствующим закрытым ключом, сможет войти в систему как существующий пользователь через SSH. Это также может привести к повышению привилегий, когда виртуальная машина или экземпляр будут иметь права, отличные от прав запрашивающего пользователя.
Если файлы authorized_keys изменены с помощью облачных API или интерфейсов командной строки, злоумышленник может добиться повышения привилегий на целевой виртуальной машине, если добавит ключ для пользователя с более высокими привилегиями.
Ключи SSH также могут быть добавлены к учетным записям на сетевых устройствах, например, с помощью команды ip ssh pubkey-chain в интерпретаторе командной строки сетевых устройств
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_persistence: PT-CR-447: Unix_SSH_Key_Modify: Изменение файлов пользовательских SSH-ключей
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для модификации файла authorized_keys или /etc/ssh/sshd_config. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте подозрительные процессы, которые модифицируют файл authorized_keys или /etc/ssh/sshd_config. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файле authorized_keys для каждого пользователя системы. Отслеживайте изменения в каталоге /etc/ssh/sshd_config и подозрительные процессы, которые вносят эти изменения. |
|---|
Меры противодействия
| ID | M1018 | Название | Управление учетными записями | Описание | При работе в облачной среде проследите, чтобы изменять метаданные и конфигурации инстанса могли только те пользователи, которым для этого нужно явное разрешение. |
|---|
| ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Ограничьте доступ к файлу |
|---|
| ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите SSH, если он не нужен на хосте, или ограничьте доступ к SSH для определенных пользователей/групп с помощью |
|---|