Техника на mitre.org

T1563.001: Перехват сессии SSH

Злоумышленники могут перехватить сессию SSH легитимного пользователя для перемещения внутри среды. Secure Shell (SSH) — это стандартное средство удаленного доступа в Linux и macOS. С его помощью пользователь может подключаться к другой системе через зашифрованный туннель. Для аутентификации обычно используется пароль, сертификат или пара ключей асимметричного шифрования.

Для перемещения внутри периметра от скомпрометированного хоста злоумышленники могут перехватить существующее соединение с другой системой и воспользоваться доверительными отношениями, установленными с другими системами посредством аутентификации с открытым ключом в активных сессиях SSH. Для этого может потребоваться компрометация самого агента SSH или доступ к сокету агента. Если злоумышленник смог заполучить root-доступ, он, вероятно, также сможет перехватить SSH-сессию.

Техника Перехват сессии SSH отличается от техники SSH тем, что подразумевает перехват существующей сессии SSH, а не создание новой сессии с помощью существующих учетных записей.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых выполняется одна из команд: — «grep SSH_AUTH_SOCK /proc/environ» или иным способом просматриваются значения переменной окружения SSH_AUTH_SOCK; — «SSH_AUTH_SOCK=<значение_из_вывода_команды_выше> ssh @» или «SSH_AUTH_SOCK=<значение_из_вывода_команды_выше> ssh-add –l»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут перехватить сеанс SSH легитимного пользователя для дальнейшего перемещения внутри периметра.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для перехвата сеанса SSH легитимного пользователя с целью дальнейшего перемещения внутри периметра.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте входы учетных записей, которые обычно не используют эти системы, или попытки входа в несколько систем за короткий период. Также отслеживайте использование файлов сокета SSH-агента разными пользователями.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут перехватить сеанс SSH легитимного пользователя для дальнейшего перемещения внутри периметра.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для перехвата сеанса SSH легитимного пользователя с целью дальнейшего перемещения внутри периметра.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте входы учетных записей, которые обычно не используют эти системы, или попытки входа в несколько систем за короткий период. Также отслеживайте использование файлов сокета SSH-агента разными пользователями.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Проследите, чтобы у файлов были надлежащие разрешения, и защитите систему от повышения привилегий до уровня root.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Проследите, чтобы переадресация агентов была отключена в системах, которым эта функция явно не требуется — это поможет предотвратить злоупотребления .

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы пары ключей SSH имели надежные пароли, и воздержитесь от использования технологий хранения ключей, таких как ssh-agent, если они не защищены должным образом.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Не разрешайте удаленный доступ через SSH с правами root или других привилегированных учетных записей.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Проследите, чтобы у файлов были надлежащие разрешения, и защитите систему от повышения привилегий до уровня root.
M1042	Отключение или удаление компонента или программы	Проследите, чтобы переадресация агентов была отключена в системах, которым эта функция явно не требуется — это поможет предотвратить злоупотребления .
M1027	Парольные политики	Проследите, чтобы пары ключей SSH имели надежные пароли, и воздержитесь от использования технологий хранения ключей, таких как ssh-agent, если они не защищены должным образом.
M1026	Управление привилегированными учетными записями	Не разрешайте удаленный доступ через SSH с правами root или других привилегированных учетных записей.