Movimento Laterale via SSH: Remote Services — SSH (T1021.004)

La simulazione del lateral movement via SSH in un esercizio red team segue un percorso logico: enumerazione, acquisizione delle credenziali, pivoting e post-exploitation. Tutto si basa su strumenti nativi e tool open source ben noti.

La prima fase è scoprire dove gira il servizio. Nmap (open source) permette di identificare rapidamente i server SSH nella rete:

nmap -p 22 -sV --open 192.168.1.0/24

Una volta individuati i target, il passo successivo è verificare la configurazione del daemon. Lo strumento ssh-audit (open source) analizza algoritmi, cipher e debolezze:

ssh-audit 192.168.1.50

Questo rivela se il server accetta autenticazione a password, chiavi deboli o protocolli obsoleti — informazioni preziose per decidere il vettore d'attacco.

Per il brute-force controllato in laboratorio, Hydra (open source) resta il riferimento. Un attacco dizionario su un singolo host si lancia così:

hydra -L users.txt -P passwords.txt ssh://192.168.1.50 -t 4

Il flag -t 4 limita i thread paralleli, evitando lockout aggressivi. In alternativa, Nmap stesso offre lo script ssh-brute per approcci più discreti.

Una volta ottenute credenziali valide o una chiave privata (magari trovata in una share di rete o estratta da un file .ssh/id_rsa su un host già compromesso), il pivoting avviene con SSH stesso. La tecnica del dynamic port forwarding crea un proxy SOCKS attraverso cui instradare il traffico:

ssh -D 1080 user@192.168.1.50

Per raggiungere segmenti di rete non direttamente accessibili, il local port forwarding è altrettanto utile:

ssh -L 3389:10.0.0.5:3389 user@192.168.1.50

In ambienti con ESXi, vale la pena simulare l'abilitazione SSH sull'hypervisor, come documentato per diversi gruppi APT. Da una shell ESXi:

vim-cmd hostsvc/enable_ssh

Dopo l'accesso, l'avversario tipicamente enumera le VM, manipola snapshot o accede ai datastore VMDK. In laboratorio, il comando esxcli vm process list simula questa ricognizione.

Per scenari più strutturati, Cobalt Strike (a pagamento) offre un modulo SSH nativo che consente di aprire beacon su host Linux raggiungibili via SSH, mantenendo il C2 integrato. Empire (open source) dispone di moduli analoghi per l'esecuzione di comandi su sessioni SSH, con gestione automatizzata delle credenziali raccolte.

Un ultimo passaggio da non trascurare è la persistenza via authorized_keys: iniettare la propria chiave pubblica nel file ~/.ssh/authorized_keys della vittima garantisce accesso futuro senza password, un pattern adottato da numerosi gruppi reali.

La sfida nel monitorare SSH è separare il grano dal loglio: il protocollo è legittimo, crittografato e pervasivo in ambienti Linux. Gli alert efficaci si basano sulla correlazione comportamentale — non sulla singola connessione, ma su cosa succede prima e dopo.

La detection principale (DET0596) segue esattamente questo principio. Su Linux, la strategia consiste nel correlare il login SSH (registrato in syslog da sshd) con l'esecuzione successiva di binari sospetti catturata da auditd. Le sorgenti log critiche sono auditd:EXECVE, linux:syslog e flussi di rete (NSM:Flow). Il tuning si gioca su tre parametri: una finestra temporale stretta (60 secondi dal login alla prima esecuzione sospetta), una lista di processi anomali nel contesto SSH — binari come nc, base64, bash -i, curl, wget — e un filtro sugli account sensibili come root e admin.

Su macOS, la logica è identica ma le fonti cambiano: gli Unified Log registrano le sessioni SSH, e osquery (open source) permette query continue sulle process table. La finestra di correlazione consigliata è di 45 secondi. Elementi da flaggare includono keyword nelle command line come reverse shell, encoding base64 e download via curl.

L'ambiente ESXi merita attenzione dedicata. I log di autenticazione (/var/log/auth.log) e quelli shell (esxi:shell) vanno inviati a un SIEM esterno tramite syslog remoto — ESXi non ha agent installabili. L'alert deve scattare quando un login SSH è seguito da comandi come esxcli, rm, chmod o accesso a percorsi critici dei datastore. La whitelist degli utenti autorizzati ad accedere via SSH all'hypervisor dovrebbe essere brevissima — spesso un singolo account di emergenza.

Per i controlli preventivi, la multi-factor authentication sulle connessioni SSH riduce drasticamente il rischio di abuso delle credenziali. Soluzioni come Duo Security (freemium) possono integrarsi con PAM per richiedere un secondo fattore a ogni login SSH. Disabilitare il daemon SSH su sistemi che non lo richiedono — in particolare server ESXi in produzione — è la mitigazione più semplice e più trascurata.

Un indicatore spesso sottovalutato è il volume e la direzione delle connessioni: una workstation che apre sessioni SSH verso cinque server in dieci minuti, o un server applicativo che avvia SSH verso un segmento di management, sono pattern che non dovrebbero mai passare silenziosi. Le regole di network flow, incrociate con gli asset inventory, catturano questo tipo di anomalia prima ancora di analizzare il contenuto delle sessioni.

L'analisi forense di un lateral movement via SSH lascia tracce su entrambi i lati della connessione — origine e destinazione — oltre che nella rete. Ricostruire la timeline significa raccogliere e correlare questi artefatti.

Sul sistema di destinazione Linux, il punto di partenza è /var/log/auth.log (o /var/log/secure su distribuzioni Red Hat-based). Ogni login SSH registra timestamp, utente, IP sorgente e metodo di autenticazione (password o publickey). Il file ~/.ssh/authorized_keys va acquisito e confrontato con le chiavi note dell'organizzazione: una chiave non riconosciuta è un indicatore di persistenza. Il file ~/.ssh/known_hosts sul lato sorgente rivela invece la lista dei server contattati.

I log di auditd, se configurati con regole appropriate, catturano ogni EXECVE post-login. Questo è cruciale per ricostruire cosa ha fatto l'attaccante dopo l'accesso: ogni comando eseguito nella sessione SSH viene registrato con PID, UID e argomenti completi. Il comando per cercare queste tracce nel log:

ausearch -m EXECVE --start "2024-01-15" --end "2024-01-16" -i

Su ESXi, la situazione è più delicata. I log si trovano in /var/log/auth.log e /var/log/shell.log, ma la retention è limitata e un reboot può cancellarli. L'acquisizione tempestiva è fondamentale. Il file /etc/ssh/keys-root/authorized_keys va verificato per chiavi impiantate. I log vmkernel possono rivelare operazioni anomale sulle VM successive all'accesso SSH.

Per la componente di rete, i record di flusso NetFlow/IPFIX mostrano connessioni sulla porta 22 (o porte non standard se l'attaccante ha riconfigurato sshd). La durata delle sessioni è un indicatore utile: sessioni brevissime e ripetute possono indicare scansione o brute-force, mentre sessioni prolungate suggeriscono shell interattive o tunnel.

Su macOS, gli Unified Log conservano eventi di autenticazione SSH interrogabili con il comando log show. Il profilo utente può contenere una directory .ssh con history delle connessioni. Il file /etc/ssh/sshd_config va acquisito per verificare se la configurazione è stata modificata — ad esempio l'abilitazione di PermitRootLogin o la disabilitazione del logging.

Un artefatto trasversale è il file ~/.bash_history (o equivalente per la shell in uso): se l'attaccante non ha provveduto a cancellarlo, contiene la sequenza di comandi eseguiti durante la sessione. L'assenza stessa di history — un file troncato o con timestamp anomali — è un indicatore di anti-forensics che va documentato nella timeline.

SSH come vettore di lateral movement accomuna gruppi con motivazioni, capacità e geografie radicalmente diverse. Questa trasversalità riflette la natura del protocollo: universale, affidabile e difficile da monitorare.

Salt Typhoon rappresenta il profilo più sofisticato. Questo gruppo ha modificato l'indirizzo di loopback su switch compromessi, utilizzandolo come sorgente di connessioni SSH verso ulteriori dispositivi della rete target. Questa tecnica consente di aggirare le access control list (ACL) che filtrano per IP sorgente — un approccio che dimostra profonda conoscenza dell'infrastruttura di rete e dei meccanismi di segmentazione. L'implicazione per i difensori è che il monitoraggio SSH non può basarsi solo sugli IP sorgente.

Il cluster ESXi merita un'analisi dedicata. APT5 ha usato SSH specificamente per accedere a host ESXi, così come UNC3886, che ha stabilito accesso SSH remoto persistente verso hypervisor target. Scattered Spider ha sfruttato SSH per raggiungere il vCenter Server GUI. Tre gruppi distinti che convergono sullo stesso obiettivo: il livello di virtualizzazione. Il pattern suggerisce che qualsiasi organizzazione con infrastruttura VMware dovrebbe trattare l'accesso SSH agli hypervisor come un evento ad alta criticità.

Il fronte finanziario vede FIN7 e FIN13 utilizzare SSH per il lateral movement, mentre Lazarus Group ha combinato SSH con l'utility PuTTY PSCP per accedere a segmenti di rete ristretti — un'indicazione che il gruppo opera in ambienti con segmentazione attiva e la supera. Anche Fox Kitten e OilRig, entrambi legati all'Iran, si affidano a PuTTY e Plink, suggerendo un toolkit condiviso o procedure operative comuni nell'ecosistema cyber iraniano.

Sul versante criminale, TeamTNT rappresenta un caso interessante: non si limita a usare SSH per muoversi lateralmente, ma lo sfrutta per trasferire ed eseguire payload sugli host vittima — un uso dual-purpose che unisce lateral movement e deployment. Rocke, con finalità analoghe di cryptomining, ha diffuso il proprio coinminer via SSH, confermando che anche attori a bassa sofisticazione trovano nel protocollo un veicolo affidabile.

Le tre campagne documentate coprono uno spettro geografico ampio. Cutting Edge (C0029, dicembre 2023 – febbraio 2024) ha colpito la base industriale della difesa statunitense e settori globali partendo dallo sfruttamento di zero-day in appliance Ivanti, usando poi SSH per il lateral movement. La campagna C0032 (ottobre 2014 – gennaio 2017), legata agli attori Triton, ha impiegato tunnel SSH cifrati per trasferire tool e eseguire comandi remoti in ambienti OT/ICS. Le Leviathan Australian Intrusions (C0049, aprile – settembre 2022) si distinguono per l'uso di brute-force SSH come tecnica primaria di lateral movement, un approccio meno sofisticato ma evidentemente efficace contro organizzazioni australiane.

Il trend emergente è chiaro: l'infrastruttura di virtualizzazione è il nuovo terreno di scontro, e SSH è la porta d'ingresso privilegiata.

Framework MITRE ATT&CK v16 — T1021.004, TA0008. Campagne: C0029 (Cutting Edge), C0032, C0049 (Leviathan Australian Intrusions). Detection: DET0596 (AN1638, AN1639, AN1640). Tool di detection: auditd, osquery, syslog remoto, NetFlow/IPFIX. Integrato con conoscenza professionale per tool e procedure operative.