跳转至

T1552-004-linux-私钥

来自ATT&CK的描述

攻击者可以从被入侵的系统上收集私钥,用于对SSH等远程服务进行身份验证(暴力破解等),或者用于解密其他收集的文件,如电子邮件。通用密钥和证书文件扩展名包括:.key, .pgp, .gpg, .ppk., .p12, .pem, .pfx, .cer, .p7b, .asc. ;攻击者还可以查看常见的密钥目录,例如基于linux/unix的系统下的~/.ssh目录或Windows 上的SSH密钥C:\Users(username).ssh\。

私钥应该需要密码来进行操作,因此攻击者也可以使用键盘记录获取密码或尝试离线爆破账号密码。

测试案例

find / -type f ( -name ".pem" -o -name ".pgp" -o -name ".gpg" -o -name ".ppk" -o -name ".p12" -o -name ".key" -o -name ".pfx" -o -name ".cer" -o -name ".p7b" -o -name ".asc" -o -name "authorized*" )

查找用户的SSH私钥:find / -name id_rsa OR find / -name id_dsa

使用CP复制SSH私钥:find / -name id_rsa -exec cp --parents {} #{output_folder} ;

find / -name id_dsa -exec cp --parents {} #{output_folder} ;

使用rsync复制SSH私钥:find / -name id_rsa -exec rsync -R {} #{output_folder} ;

find / -name id_dsa -exec rsync -R {} #{output_folder} ;

检测日志

bash历史记录

测试复现

icbc@icbc:/$ sudo find / -name id_rsa

不再进行一一测试

测试留痕

icbc@icbc:/$ history

639 sudo find / -name id_rsa

检测规则/思路

sigma规则

title: 攻击者查找linux下私钥文件
description: Ubuntu18.04
references: https://github.com/12306Bro/Threathunting/blob/master/T1145-linux-私钥.md
tags: T1552-004
status: experimental
author: 12306Bro
logsource:
    product: linux
    service: history
detection:
    keywords:
       - sudo find / -name *.pgp
       - sudo find / -name *.pem
       - sudo find / -name *.ppk
       - sudo find / -name *.p12
       - sudo find / -name *.key
    condition: keywords
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1552-004

https://attack.mitre.org/techniques/T1552/004/

linux下的rsync六个使用实例

https://www.linuxprobe.com/how-linux-rsync.html