det0256-detection-strategy-for-ssh-session-hijacking

# DET0256 — Detection Strategy for SSH Session Hijacking ## Descrição Detecta o sequestro de sessões SSH ativas por adversários com acesso ao sistema. Técnicas como ControlMaster hijacking (abuso do socket de multiplexação SSH), modificação do arquivo `~/.ssh/config` para redirecionar conexões, e acesso direto a sockets de controle em `/tmp/ssh-*` permitem ao atacante reutilizar sessões autenticadas sem conhecer a chave privada do usuário. Os indicadores incluem acesso a sockets de controle SSH em `/tmp/ssh-*/agent.*` por processos diferentes do cliente SSH original, modificação de `~/.ssh/config` para adicionar entradas `ControlMaster auto` ou `ControlPath`, e sessões SSH com PIDs diferentes do processo SSH original utilizando o mesmo socket de controle para iniciar novas conexões. A telemetria necessária abrange auditd com WATCH em diretórios `/tmp/ssh-*` e `~/.ssh/`, eventos de criação de arquivos de socket, process creation relacionado a SSH (`ssh`, `sftp`, `scp`) correlacionados com identidade e horário, e detecção de uso de `ProxyCommand` incomum. ## Indicadores de Detecção - Acesso a socket `/tmp/ssh-*/agent.*` por processo diferente do agente SSH do usuário - Modificação de `~/.ssh/config` adicionando `ControlMaster auto` ou `ControlPath /tmp/...` - Novo processo `ssh` usando argumento `-S /tmp/ssh-existing-socket` não iniciado pelo usuário legítimo - Múltiplas sessões SSH compartilhando mesmo socket de controle de IPs diferentes - Criação de link simbólico apontando para socket SSH de outro usuário - `SSH_AUTH_SOCK` apontando para socket em diretório não-padrão em processo filho ## Técnicas Relacionadas - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] ## Analytics Relacionadas - [[an0710-analytic-0710|AN0710 — Analytic 0710]] - [[an0711-analytic-0711|AN0711 — Analytic 0711]] --- *Fonte: [MITRE ATT&CK — DET0256](https://attack.mitre.org/detectionstrategies/DET0256)*