Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1098.004 - Авторизованные ключи SSH

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1098 , T1098.001 , T1098.002 , T1098.003 , T1098.004 , T1098.005 , T1098.006 , T1098.007

Злоумышленники могут модифицировать файл SSH authorized_keys, чтобы сохранить его на хосте-жертве. Дистрибутивы Linux и macOS обычно используют аутентификацию на основе ключей для защиты процесса аутентификации сеансов SSH для удаленного управления. Файл authorized_keys в SSH определяет ключи SSH, которые можно использовать для входа в учетную запись пользователя, для которого этот файл настроен. Этот файл обычно находится в домашнем каталоге пользователя в папке <user-home>/.ssh/authorized_keys.(Цитата: SSH Authorized Keys) Пользователи могут редактировать файл конфигурации SSH системы, чтобы изменить директивы PubkeyAuthentication и RSAAuthentication на значение "yes", чтобы обеспечить включение аутентификации с открытым ключом и RSA. Файл конфигурации SSH обычно находится в каталоге /etc/ssh/sshd_config.

Злоумышленники могут изменять файлы SSH authorized_keys непосредственно с помощью скриптов или команд командной оболочки, чтобы добавить свои собственные открытые ключи. В облачных средах злоумышленники могут изменять файл SSH authorized_keys конкретной виртуальной машины через интерфейс командной строки или остальной API. Например, используя команду "add-metadata" в Google Cloud CLI, злоумышленник может добавить SSH-ключи к учетной записи пользователя.(Цитата: Google Cloud Add Metadata)(Цитата: Google Cloud Privilege Escalation) Аналогично, в Azure злоумышленник может обновить файл authorized_keys виртуальной машины с помощью PATCH-запроса к API.(Цитата: Azure Update Virtual Machines) Это гарантирует, что Злоумышленник, обладающий соответствующим закрытым ключом, сможет войти в систему как существующий пользователь через SSH. (Цитата: Venafi SSH Key Abuse) (Цитата: Cybereason Linux Exim Worm) Это также может привести к повышению привилегий, когда виртуальная машина или экземпляр имеют права, отличные от прав запрашивающего пользователя.

Если файлы authorized_keys изменяются через облачные API или интерфейсы командной строки, злоумышленник может добиться повышения привилегий на целевой виртуальной машине, если он добавит ключ для пользователя с более высокими привилегиями.

Ключи SSH также можно добавлять к учетным записям на сетевых устройствах, например с помощью команды `ip ssh pubkey-chain` Network Device CLI.(Цитата: cisco_ip_ssh_pubkey_ch_cmd)

https://attack.mitre.org/techniques/T1098/004

← Назад

Визуализация смежных техник для T1098.004

Отрасль:
 с подтехниками
Техника

Закрыть