Descripción de la Tecnica
SSH (Secure Shell) es un protocolo que permite a usuarios autorizados abrir shell remoto en dispositivos computacionales. La técnica MITRE ATT&CK T1078 describe cómo los actores maliciosos pueden aprovechar cuentas válidas para iniciar sesiones en máquinas remotas mediante SSH, permitiéndoles realizar acciones bajo el contexto del usuario logeado.
Como Funciona
SSH es un protocolo de seguridad que permite la autenticación y comunicación segura entre dispositivos. En sistemas Linux y macOS, SSH está instalado por defecto pero generalmente desactivado hasta que el usuario lo habilita. En entornos como ESXi, el acceso a SSH se puede configurar mediante comandos como vim-cmd hostsvc/enable_ss, según la documentación MITRE: T1021.004.
Actores que la Utilizan
Esta técnica pertenece al grupo attack-pattern de MITRE ATT&CK, que categoriza patrones de ataque relacionados con la explotación de vulnerabilidades o la utilización de protocolos para actividades maliciosas.
Detección
La detección de esta técnica implica monitorear actividades anómalas en el protocolo SSH, como accesos no autorizados a sistemas remotos, uso inusual de cuentas válidas o configuraciones de SSH que contradicen políticas de seguridad. Herramientas de análisis de logs y sistemas de detección de amenazas (EDR) pueden ayudar en este proceso.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar riesgos asociados a SSH, se recomienda: - Deshabilitar el acceso SSH en sistemas no necesarios. - Configurar cuentas y permisos con principios de mínima privilegia. - Monitorear logs de acceso remoto y establecer alertas para actividades sospechosas. - Actualizar regularmente las configuraciones de seguridad del protocolo SSH.