ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1184

术语表: /attack/glossary

SSH 劫持

Secure Shell (SSH) 是 Linux 和 macOS 系统上远程访问的标准方法。 它允许用户通过加密隧道连接到另一个系统,通常使用密码、证书或非对称加密密钥对进行身份验证。 为了从受攻击的主机横向运动,攻击者可以利用在活动 SSH 会话中通过公钥身份验证与其他系统建立的信任关系,劫持与其他系统的现有连接。 这可以通过攻击 SSH 代理本身或访问代理的套接字来实现。 如果攻击者能够获得 root 访问权,那么劫持 SSH 会话应该轻而易举。 攻击 SSH 代理还提供可用于拦截 SSH 凭据的访问权限。

SSH 劫持与远程服务的使用不同,因为它将注入到现有 SSH 会话中,而不是使用有效帐户创建新会话。

缓解

确保 SSH 密钥对具有强密码,除非有适当的保护,否则不要使用 SSH -agent 等密钥存储技术。 确保所有私钥都安全地存储在只有合法所有者使用强密码才能访问并频繁变换的位置。 确保设置适当的文件权限并加强系统,以防止 root 权限提升的机会。 不允许通过 SSH 作为 root 用户或其他特权帐户进行远程访问。 确保在未明确需要此功能的系统上禁用代理转发,以防止滥用。

检测

SSH 的使用可能是合法的,这取决于网络环境及其使用方式。 其他因素,如远程登录后发生的访问模式和活动,可以表明 SSH 存在可疑或恶意行为。 监视登录到系统且通常不会访问系统的用户,还有在较短的时间内访问多个系统的模式。 同时监视不同用户使用的用户 SSH-agent 套接字文件。