# AN0710 — Analytic 0710 ## Descrição Detecta reutilização suspeita de sockets de agente SSH entre múltiplos usuários ou processos, acesso anômalo a `~/.ssh/` ou sockets `/tmp/ssh-*`, e padrões incomuns de movimentação lateral via SSH sem novos eventos de autenticação, identificando quando um processo acessa o agente SSH de outro usuário ou quando uma conexão SSH existente é usada para pivô inesperado. A telemetria inclui auditd (monitoramento de acesso a sockets `/tmp/ssh-*`), logs de autenticação SSH e registros de conexão de rede que correlacionam acesso a socket de agente com sessões SSH de saída para hosts internos sem autenticação nova. Essa analítica é crítica para detectar SSH agent hijacking, uma técnica utilizada por adversários para movimentação lateral lateral privilegiada em redes Linux sem deixar rastros de nova autenticação nos servidores alvo. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1550-use-alternate-authentication-material|T1550 — Use Alternate Authentication Material]] --- *Fonte: [MITRE ATT&CK — AN0710](https://attack.mitre.org/detectionstrategies/DET0256#AN0710)*