检测到潜在的外部针对 Linux 的 SSH 暴力破解攻击
编辑检测到潜在的外部针对 Linux 的 SSH 暴力破解攻击
编辑识别在短时间间隔内来自同一源地址针对用户帐户的多个外部连续登录失败。攻击者通常会尝试使用常见或已知密码对多个用户进行暴力破解登录尝试,以获取对这些帐户的访问权限。
规则类型: eql
规则索引:
- filebeat-*
- logs-system.auth-*
严重程度: 低
风险评分: 21
运行频率: 5 分钟
搜索索引的时间范围: now-9m(日期数学格式,另请参阅 额外的回溯时间)
每次执行的最大警报数: 5
参考: 无
标签:
- 域: 端点
- 操作系统: Linux
- 用例: 威胁检测
- 策略: 凭据访问
版本: 7
规则作者:
- Elastic
规则许可证: Elastic 许可证 v2
调查指南
编辑分类和分析
调查潜在的外部针对 Linux 的 SSH 暴力破解攻击
该规则识别来自同一源 IP 地址针对同一目标主机针对用户帐户的连续 SSH 登录失败,指示暴力破解登录尝试。
对于具有面向外部的 SSH 服务的系统,此规则会产生大量噪音,因为攻击者会在互联网上扫描可远程访问的 SSH 服务并尝试对其进行暴力破解以获取未经授权的访问权限。
如果此规则产生太多噪音并且外部暴力破解不重要,请考虑关闭此规则并启用“检测到潜在的内部针对 Linux 的 SSH 暴力破解攻击”以检测内部暴力破解尝试。
可能的调查步骤
- 调查登录失败的用户名。
- 调查失败的 ssh 登录尝试的源 IP 地址。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 识别源计算机和目标计算机及其在 IT 环境中的角色。
误报分析
- 身份验证配置错误或凭据过期。
- 服务帐户密码过期。
- 基础架构或可用性问题。
相关规则
- 检测到潜在的内部针对 Linux 的 SSH 暴力破解攻击 - 1c27fa22-7727-4dd3-81c0-de6da5555feb
- 潜在的 SSH 密码猜测 - 8cb84371-d053-4f4f-bce0-c74990e28f28
响应和修复
- 根据分类结果启动事件响应流程。
- 隔离受影响的主机以防止进一步的攻击后行为。
- 调查攻击者入侵或使用的系统上的凭据泄露,以确保识别所有受损帐户。重置这些帐户和其他可能受损的凭据(例如电子邮件、业务系统和 Web 服务)的密码。
- 运行完整反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
- 确定攻击者滥用的初始攻击向量,并采取措施防止通过同一向量再次感染。
- 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置
编辑设置
此规则需要来自 Filebeat 的数据。
Filebeat 设置
Filebeat 是一款轻量级传送器,用于转发和集中日志数据。Filebeat 作为代理安装在您的服务器上,它会监控您指定的日志文件或位置,收集日志事件,并将它们转发到 Elasticsearch 或 Logstash 进行索引。
为了在 Linux 系统上添加 Filebeat,应执行以下步骤
规则特定设置说明
- 此规则需要启用“Filebeat 系统模块”。
- 系统模块收集并解析由常见基于 Unix/Linux 的发行版的系统日志记录服务创建的日志。
- 要在 Linux 上运行 Filebeat 的系统模块,请按照 辅助指南中的设置说明进行操作。
规则查询
编辑sequence by host.id, source.ip, user.name with maxspan=15s
[ authentication where host.os.type == "linux" and
event.action in ("ssh_login", "user_login") and event.outcome == "failure" and
not cidrmatch(source.ip, "10.0.0.0/8", "127.0.0.0/8", "169.254.0.0/16", "172.16.0.0/12", "192.0.0.0/24",
"192.0.0.0/29", "192.0.0.8/32", "192.0.0.9/32", "192.0.0.10/32", "192.0.0.170/32", "192.0.0.171/32",
"192.0.2.0/24", "192.31.196.0/24", "192.52.193.0/24", "192.168.0.0/16", "192.88.99.0/24", "224.0.0.0/4",
"100.64.0.0/10", "192.175.48.0/24","198.18.0.0/15", "198.51.100.0/24", "203.0.113.0/24", "240.0.0.0/4",
"::1", "FE80::/10", "FF00::/8") ] with runs = 10
框架: MITRE ATT&CKTM
-
策略
- 名称: 凭据访问
- ID: TA0006
- 参考 URL: https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称: 暴力破解
- ID: T1110
- 参考 URL: https://attack.mitre.org/techniques/T1110/
-
子技术
- 名称: 密码猜测
- ID: T1110.001
- 参考 URL: https://attack.mitre.org/techniques/T1110/001/
-
子技术
- 名称: 密码喷洒
- ID: T1110.003
- 参考 URL: https://attack.mitre.org/techniques/T1110/003/