det0596-behavioral-detection-of-remote-ssh-logins-followed-by-post-login-executi

# DET0596 — Behavioral Detection of Remote SSH Logins Followed by Post-Login Execution ## Descrição A detecção comportamental de logins SSH remotos seguidos de execução pós-login foca em identificar padrões de ataque onde o adversário usa SSH como vetor de acesso inicial ou movimentação lateral, executando imediatamente comandos de reconhecimento, persistência ou impacto após autenticação. Em ataques a infraestrutura Linux — servidores web, bancos de dados, sistemas de CI/CD, APIs — o SSH é frequentemente o primeiro serviço comprometido após obtenção de credenciais via brute-force, phishing ou roubo de chaves privadas. O padrão comportamental suspeito combina: login SSH bem-sucedido de IP não reconhecido (especialmente de IP de VPN, Tor ou datacenter cloud), seguido nos primeiros 30-60 segundos de comandos de enumeração (`id`, `whoami`, `uname -a`, `cat /etc/passwd`), download de ferramentas via `curl`/`wget`, ou modificação de arquivos de autorização SSH (`~/.ssh/authorized_keys`). Esse padrão é consistente com adversário executando playbook de comprometimento inicial. Em ambientes LATAM, especialmente em servidores Linux de e-commerce e APIs de pagamento, ataques via SSH comprometido são prevalentes. A adição de chaves SSH não autorizadas em `authorized_keys` imediatamente após login é um sinal de persistência de alta confiabilidade. A correlação de logs do `/var/log/auth.log`, Sysmon para Linux (se disponível) ou `auditd` com telemetria de processo é necessária para cobertura completa. ## Indicadores de Detecção - Login SSH de IP não em whitelist seguido de `id`, `whoami` ou `uname` em < 10 segundos - Adição de linha em `~/.ssh/authorized_keys` nos primeiros 60 segundos após login SSH - `curl` ou `wget` executado em < 30 segundos após autenticação SSH com URL de destino externo - Login SSH de conta de serviço (ex.: `deploy`, `backup`) em horário de operação incomum - Novo processo `bash` filho de `sshd` executando `chmod 777`, `crontab -e` ou `at` imediatamente - Múltiplos logins SSH bem-sucedidos de IPs distintos para mesmo servidor em janela de 1 hora ## Técnicas Relacionadas - [[T1021.004-remote-services-ssh|T1021.004 — SSH]] - [[t1021-remote-services|T1021 — Remote Services]] - [[T1098.004-account-manipulation-ssh-authorized-keys|T1098.004 — SSH Authorized Keys]] - [[T1059.004-command-scripting-unix-shell|T1059.004 — Unix Shell]] - [[t1110-brute-force|T1110 — Brute Force]] ## Analytics Relacionadas - [[an1638-analytic-1638|AN1638 — Analytic 1638]] - [[an1639-analytic-1639|AN1639 — Analytic 1639]] - [[an1640-analytic-1640|AN1640 — Analytic 1640]] --- *Fonte: [MITRE ATT&CK — DET0596](https://attack.mitre.org/detectionstrategies/DET0596)*