det0126-detection-strategy-for-ssh-key-injection-in-authorized-keys

# DET0126 — Detection Strategy for SSH Key Injection in Authorized Keys ## Descrição Esta estratégia detecta a injeção de chaves SSH públicas não autorizadas no arquivo `~/.ssh/authorized_keys` de contas de sistema. Adversários utilizam esta técnica para estabelecer acesso persistente e indetectável a servidores Linux/Unix, garantindo acesso remoto mesmo após rotação de senhas ou revogação de credenciais. O mecanismo é simples: uma vez com acesso de escrita ao diretório `~/.ssh/` de qualquer usuário (incluindo `root`), o atacante adiciona sua própria chave pública ao `authorized_keys`, permitindo login sem senha. Grupos como APT29 e operadores de malware como TeamTNT utilizam esta técnica em ambientes Linux comprometidos e contêineres cloud. A telemetria abrange auditd (syscall `open`/`write` em `authorized_keys`), inotifywait sobre `~/.ssh/`, logs de autenticação SSH (`/var/log/auth.log`), e telemetria de EDR Linux. A estratégia correlaciona modificação do arquivo com logins SSH subsequentes de IPs não vistos anteriormente para a conta afetada, aumentando a fidelidade da detecção. ## Indicadores de Detecção - Modificação de `~/.ssh/authorized_keys` por processo que não sejá `sshd`, `ssh-copy-id` ou gerenciador de configuração (Ansible, Puppet) - Nova chave pública adicionada fora de janela de mudança aprovada (change window) - Login SSH bem-sucedido com chave pública não catalogada em inventário de identidade - Processo `echo` ou `tee` redirecionando conteúdo para `authorized_keys` em shell não-interativo - Acesso a `authorized_keys` por processo com UID diferente do dono do arquivo ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1136-create-account|T1136 — Create Account]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an0350-analytic-0350|AN0350 — Analytic 0350]] - [[an0351-analytic-0351|AN0351 — Analytic 0351]] - [[an0352-analytic-0352|AN0352 — Analytic 0352]] - [[an0353-analytic-0353|AN0353 — Analytic 0353]] - [[an0354-analytic-0354|AN0354 — Analytic 0354]] --- *Fonte: [MITRE ATT&CK — DET0126](https://attack.mitre.org/detectionstrategies/DET0126)*