کلیدهای مجاز SSH
SSH Authorized Keysتوضیحات
مهاجمان کلیدهای SSH مخرب را به فایل authorized_keys سرورها اضافه میکنند تا دسترسی مداوم بدون رمز عبور داشته باشند. این تکنیک در سیستمهای لینوکس و macOS رایج است و به مهاجمان اجازه میدهد حتی پس از تغییر رمز عبور به سیستم دسترسی داشته باشند.
روشهای شناسایی
نظارت بر تغییرات فایل authorized_keys. بررسی کلیدهای SSH موجود. شناسایی کلیدهای SSH غیرمجاز. تحلیل لاگهای SSH.
روشهای مقابله
نظارت بر فایلهای authorized_keys. بررسی منظم کلیدهای SSH. محدود کردن دسترسی SSH. استفاده از certificate-based authentication. پیادهسازی PAM.
تکنیک اصلی
دستکاری حساب کاربری
مهاجمان حسابهای کاربری موجود را دستکاری میکنند تا دسترسی مداوم به سیستمهای قربانی حفظ کنند. این تکنیک شامل اضافه کردن اعتبارنامههای جدید، تغییر مجوزها و اضافه کردن نقشهای ابری میشود. مهاجمان میتوانند از این روش برای حفظ دسترسی حتی پس از تغییر رمز عبور اصلی استفاده کنند.