Movimento Laterale via SSH: Remote Services: SSH (T1021.004)

La simulazione di attacchi SSH inizia sempre dalla ricognizione delle chiavi autorizzate. Su sistemi Linux e macOS, il file ~/.ssh/authorized_keys contiene le chiavi pubbliche che permettono accesso senza password.

Per identificare sistemi con SSH abilitato nella rete interna: nmap -p22 --open -sV 192.168.1.0/24

Una volta individuato un target, l'accesso può avvenire tramite credenziali compromesse o chiavi rubate. Lazarus Group ha dimostrato l'efficacia di PuTTY PSCP per trasferire dati tra segmenti di rete isolati.

La persistenza attraverso chiavi SSH richiede l'aggiunta della propria chiave pubblica: echo "ssh-rsa AAAAB3... attacker@domain" >> ~/.ssh/authorized_keys

Su ESXi, l'abilitazione remota del servizio SSH bypassa molti controlli: vim-cmd hostsvc/enable_ssh

Per il movimento laterale automatizzato, tool come Empire includono moduli SSH dedicati. La combinazione con tunnel SSH (ssh -D 9050 user@target) permette di pivotare attraverso host compromessi, mascherando l'origine reale delle connessioni successive.

TeamTNT ha perfezionato questa tecnica distribuendo cryptominer attraverso SSH, mentre Scattered Spider l'ha utilizzata per accedere alle console vSphere vCenter. La chiave del successo sta nell'utilizzo di credenziali legittime e nel timing delle operazioni per evitare detection comportamentali.

La detection efficace di movimenti laterali SSH richiede correlazione tra eventi di autenticazione e attività post-login sospette. Il behavioral detection ID DET0596 fornisce un framework robusto per questa analisi.

Su sistemi Linux, auditd cattura gli eventi EXECVE successivi alle connessioni SSH. Una finestra temporale di 60 secondi dal login permette di identificare esecuzioni anomale come nc, base64 o bash -i.

Per macOS, i Unified Logs registrano sia le connessioni SSH che i processi spawn successivi. La correlazione deve considerare pattern di utilizzo normali per ridurre i falsi positivi.

Su ESXi, /var/log/auth.log e i log hostd sono critici. Comandi come esxcli, rm o chmod eseguiti subito dopo un login SSH indicano potenziale compromissione. APT5 e UNC3886 hanno sfruttato proprio questi vettori per compromettere host ESXi.

La chiave per ridurre i falsi positivi sta nella baseline del comportamento normale. Account di servizio che si connettono a orari regolari vanno whitelistati, mentre nuove connessioni da IP geograficamente distanti richiedono investigazione immediata.

L'implementazione di alerting su SSH brute force, come dimostrato da Leviathan durante le intrusioni australiane, richiede soglie dinamiche basate sul normale volume di traffico SSH dell'organizzazione.

La ricostruzione forense di attività SSH inizia sempre dall'analisi dei log di autenticazione. Su Linux, /var/log/auth.log e /var/log/secure contengono timestamp precisi di ogni tentativo di connessione, riuscito o fallito.

Le chiavi SSH autorizzate lasciano tracce persistenti in ~/.ssh/authorized_keys. L'analisi del timestamp di modifica di questo file, correlato con i log di sistema, rivela quando un attaccante ha stabilito persistenza. FIN13 ha utilizzato questa tecnica per mantenere accesso a lungo termine.

Su macOS, oltre ai log standard, il comando last fornisce una timeline delle sessioni SSH con durata e IP sorgente. La correlazione con /var/log/system.log permette di identificare comandi eseguiti durante ogni sessione.

Per ESXi, la timeline deve includere l'analisi di /var/log/vmkernel.log e /var/log/shell.log. Salt Typhoon ha dimostrato come modificare l'indirizzo di loopback per mascherare l'origine delle connessioni SSH, richiedendo analisi approfondita delle configurazioni di rete.

Gli artefatti di trasferimento file via SCP o SFTP sono critici. GCMAN e menuPass hanno utilizzato PuTTY PSCP, lasciando tracce nei log di trasferimento e nei timestamp dei file copiati.

La correlazione temporale tra login SSH, creazione di nuovi processi e modifiche al filesystem permette di ricostruire l'intera catena di attacco, dal punto di ingresso alle azioni finali dell'attaccante.

Lazarus Group utilizza SSH come componente chiave delle operazioni post-compromissione. Il gruppo combina PuTTY con PSCP per attraversare segmenti di rete isolati, pattern osservato in attacchi al settore finanziario asiatico.

APT39 integra SSH nelle campagne di spionaggio contro target mediorientali. La preferenza per connessioni SSH dirette, piuttosto che tunnel complessi, suggerisce priorità sulla velocità operativa rispetto alla stealth.

Fox Kitten dimostra sofisticazione superiore combinando PuTTY e Plink per creare catene di pivot multi-hop. Questa tecnica appare consistentemente negli attacchi contro infrastrutture critiche, suggerendo playbook standardizzati.

Storm-1811 rappresenta l'evoluzione moderna: OpenSSH per tunnel persistenti che supportano operazioni a lungo termine. La scelta di OpenSSH rispetto a tool commerciali indica focus su compatibilità cross-platform.

L'overlap geografico è significativo. Gruppi cinesi come APT5 e Salt Typhoon mostrano predilezione per target ESXi, mentre attori iraniani preferiscono ambienti Linux tradizionali. Scattered Spider ha portato tecniche ransomware nel mondo SSH, targeting specifico di vSphere.

Le campagne Cutting Edge e C0032 rivelano trend preoccupanti: SSH non più solo per movimento laterale ma come canale C2 primario, sfruttando la difficoltà di distinguere traffico legittimo da malevolo.

Framework MITRE ATT&CK documenta SSH come T1021.004 sotto Remote Services. Campagne Cutting Edge, C0032 e Leviathan Australian Intrusions forniscono case study dettagliati. Detection analytics DET0596 offre blueprint per monitoraggio behavioral efficace.