T1552-004-linux-私钥
来自ATT&CK的描述
攻击者可以从被入侵的系统上收集私钥,用于对SSH等远程服务进行身份验证(暴力破解等),或者用于解密其他收集的文件,如电子邮件。通用密钥和证书文件扩展名包括:.key, .pgp, .gpg, .ppk., .p12, .pem, .pfx, .cer, .p7b, .asc. ;攻击者还可以查看常见的密钥目录,例如基于linux/unix的系统下的~/.ssh目录或Windows 上的SSH密钥C:\Users(username).ssh\。
私钥应该需要密码来进行操作,因此攻击者也可以使用键盘记录获取密码或尝试离线爆破账号密码。
测试案例
find / -type f ( -name ".pem" -o -name ".pgp" -o -name ".gpg" -o -name ".ppk" -o -name ".p12" -o -name ".key" -o -name ".pfx" -o -name ".cer" -o -name ".p7b" -o -name ".asc" -o -name "authorized*" )
查找用户的SSH私钥:find / -name id_rsa OR find / -name id_dsa
使用CP复制SSH私钥:find / -name id_rsa -exec cp --parents {} #{output_folder} ;
find / -name id_dsa -exec cp --parents {} #{output_folder} ;
使用rsync复制SSH私钥:find / -name id_rsa -exec rsync -R {} #{output_folder} ;
find / -name id_dsa -exec rsync -R {} #{output_folder} ;
检测日志
bash历史记录
测试复现
icbc@icbc:/$ sudo find / -name id_rsa
不再进行一一测试
测试留痕
icbc@icbc:/$ history
639 sudo find / -name id_rsa
检测规则/思路
sigma规则
title: 攻击者查找linux下私钥文件
description: Ubuntu18.04
references: https://github.com/12306Bro/Threathunting/blob/master/T1145-linux-私钥.md
tags: T1552-004
status: experimental
author: 12306Bro
logsource:
product: linux
service: history
detection:
keywords:
- sudo find / -name *.pgp
- sudo find / -name *.pem
- sudo find / -name *.ppk
- sudo find / -name *.p12
- sudo find / -name *.key
condition: keywords
level: medium
建议
暂无
参考推荐
MITRE-ATT&CK-T1552-004
https://attack.mitre.org/techniques/T1552/004/
linux下的rsync六个使用实例