ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1145

术语表: /attack/glossary

私钥

私钥和证书用于身份验证、加密/解密和数字签名。

攻击者可以从被攻击的系统中收集私钥,用于 SSH 等远程服务的身份验证,或用于解密其他收集到的文件如电子邮件。 常见密钥和证书文件扩展名包括: .key, .pgp, .gpg, .ppk., .p12, .pem, .pfx, .cer, .p7b, .asc. 攻击者也可以查看公共密钥目录,比如基于* unix 系统上的~/.ssh,或 Windows 中的 C:\Users(username).ssh\,以获取 SSH 密钥。 操作私钥需要密码,因此攻击者也可以使用输入捕获 (Input Capture) 来记录密钥或尝试对密码进行离线爆破。 已有可以在被攻击系统中搜索与加密密钥和证书相关的文件扩展名的攻击者工具。

缓解

使用强密码加密私钥,使破解变得困难。 如果可以,将密钥存储在单独的加密硬件而不是本地系统上。 确保只允许授权密钥访问关键资源,并定期审查访问列表。 确保对包含敏感私钥的文件夹设置恰当的权限,以防止意外访问。 使用独立的基础设施来管理关键系统,以防止在可用作横向移动向量的系统上的凭据和权限重叠。 遵循其他缓解有效账户使用的最佳实践。

检测

监视与加密密钥和证书相关的文件和目录的访问,以潜在地检测可能标志收集和数据渗漏的访问模式。 收集身份验证日志,并查找可能表明未正确使用密钥或证书进行远程身份验证的潜在异常活动。