› › ›

检测到潜在的外部 Linux SSH 暴力破解

编辑

检测到潜在的外部 Linux SSH 暴力破解编辑

识别在短时间内从同一源地址针对用户帐户的多重连续外部登录失败。攻击者通常会使用常见或已知密码对多个用户进行暴力破解登录尝试，以试图访问这些帐户。

规则类型: eql

规则索引:

filebeat-*
logs-system.auth-*

严重性: 低

风险评分: 21

每隔运行: 5m

从以下时间搜索索引: now-9m (日期数学格式，另请参阅 其他回溯时间)

每次执行的最大警报数: 5

参考: 无

标签:

域：端点
操作系统：Linux
用例：威胁检测
策略：凭据访问

版本: 7

规则作者:

Elastic

规则许可: Elastic License v2

调查指南编辑

分类和分析

调查检测到的潜在外部 Linux SSH 暴力破解

该规则识别针对同一目标主机从同一源 IP 地址针对用户帐户的连续 SSH 登录失败，表明存在暴力破解登录尝试。

对于具有面向前端 SSH 服务的系统，此规则会产生大量噪音，因为攻击者会扫描互联网以查找可远程访问的 SSH 服务并尝试暴力破解它们以获取未经授权的访问权限。

如果此规则产生太多噪音，并且对外部暴力破解不太感兴趣，请考虑关闭此规则并启用“检测到潜在的内部 Linux SSH 暴力破解”以检测内部暴力破解尝试。

可能的调查步骤

调查登录失败的用户名。
调查 SSH 登录尝试失败的源 IP 地址。
调查过去 48 小时内与用户/主机关联的其他警报。
识别源计算机和目标计算机及其在 IT 环境中的角色。

误报分析

身份验证错误配置或过时的凭据。
服务帐户密码过期。
基础设施或可用性问题。

相关规则

检测到潜在的内部 Linux SSH 暴力破解 - 1c27fa22-7727-4dd3-81c0-de6da5555feb
潜在的 SSH 密码猜测 - 8cb84371-d053-4f4f-bce0-c74990e28f28

响应和补救

根据分类结果启动事件响应流程。
隔离涉及的主机以防止进一步的妥协后行为。
调查攻击者用来入侵或使用的系统上的凭据泄露情况，以确保识别出所有受入侵的帐户。重置这些帐户和其他可能受入侵的凭据的密码，例如电子邮件、业务系统和网络服务。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介重新感染。
使用事件响应数据，更新日志记录和审计策略以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

此规则需要 Filebeat 传入的数据。

Filebeat 设置

Filebeat 是一个轻量级转发器，用于转发和集中日志数据。作为代理安装在您的服务器上，Filebeat 监视您指定的日志文件或位置，收集日志事件，并将它们转发到 Elasticsearch 或 Logstash 以进行索引。

应按顺序执行以下步骤，以便在 Linux 系统上添加 Filebeat

Elastic 提供适用于 APT 和基于 YUM 的发行版的存储库。请注意，我们提供二进制包，但不提供源包。
要安装 APT 和 YUM 存储库，请按照此帮助指南中的设置说明进行操作。
要在 Docker 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
要在 Kubernetes 上运行 Filebeat，请按照帮助指南中的设置说明进行操作。
有关 Filebeat 的快速入门信息，请参阅帮助指南。
有关“设置和运行 Filebeat”的完整信息，请参阅帮助指南。

规则特定设置说明

此规则要求启用“Filebeat 系统模块”。
系统模块收集和解析由常见基于 Unix/Linux 的发行版的系统日志服务创建的日志。
要在 Linux 上运行 Filebeat 的系统模块，请按照帮助指南中的设置说明进行操作。

规则查询编辑

sequence by host.id, source.ip, user.name with maxspan=15s
  [ authentication where host.os.type == "linux" and
   event.action in ("ssh_login", "user_login") and event.outcome == "failure" and
   not cidrmatch(source.ip, "10.0.0.0/8", "127.0.0.0/8", "169.254.0.0/16", "172.16.0.0/12", "192.0.0.0/24",
       "192.0.0.0/29", "192.0.0.8/32", "192.0.0.9/32", "192.0.0.10/32", "192.0.0.170/32", "192.0.0.171/32",
       "192.0.2.0/24", "192.31.196.0/24", "192.52.193.0/24", "192.168.0.0/16", "192.88.99.0/24", "224.0.0.0/4",
       "100.64.0.0/10", "192.175.48.0/24","198.18.0.0/15", "198.51.100.0/24", "203.0.113.0/24", "240.0.0.0/4",
       "::1", "FE80::/10", "FF00::/8") ] with runs = 10

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：暴力破解
- ID：T1110
- 参考网址：https://attack.mitre.org/techniques/T1110/
子技术
- 名称：密码猜测
- ID：T1110.001
- 参考网址：https://attack.mitre.org/techniques/T1110/001/
子技术
- 名称：密码喷洒
- ID：T1110.003
- 参考网址：https://attack.mitre.org/techniques/T1110/003/

« 潜在的未引用服务路径漏洞利用通过无头浏览器潜在的文件下载 »