mnv1851/SSH-Brute-Force-and-Privilege-Escalation-Incident-Response-Playbook
GitHub: mnv1851/SSH-Brute-Force-and-Privilege-Escalation-Incident-Response-Playbook
一份针对 SSH 暴力破解导致权限提升的事件响应 Playbook,为 SOC 分析师提供从检测、调查到遏制的完整工作流程参考。
Stars: 0 | Forks: 0
# SSH-暴力破解与权限提升-事件响应-Playbook
### 本 Playbook 记录了针对 Linux 系统上导致 **成功认证** 和 **权限提升** 的 **SSH 暴力破解攻击** 的检测、调查、遏制和响应工作流。该场景是在受控 SOC 实验室环境中使用 **Ubuntu 认证日志** 和 **Wazuh SIEM** 遥测数据进行分析的。
## 目标
本 Playbook 旨在帮助 SOC 分析师:
- 检测 SSH 暴力破解尝试
- 验证在多次失败后是否发生了成功登录
- 调查认证后的活动
- 确认权限提升
- 遏制并修复威胁
- 在结构化的事件响应工作流中记录调查结果
## 事件摘要
来自 Ubuntu 服务器的认证日志分析发现了来自 `192.168.100.10` 的可疑 SSH 活动。
攻击模式包括:
- 多次 SSH 登录失败尝试
- 无效用户名尝试
- PAM 认证失败
- 随后使用有效凭据成功登录 SSH
- 使用 `sudo` 进行权限提升
- 创建 Root 会话
该行为与**导致有效账户滥用和权限提升的暴力破解攻击**一致。
## 环境详情
| 组件 | 值 |
|---|---|
| 攻击类型 | SSH 暴力破解 |
| 目标系统 | Ubuntu Server (`192.168.100.20`) |
| 攻击者系统 | Kali Linux (`192.168.100.10`) |
| 日志来源 | `/var/log/auth.log` |
| 监控平台 | Wazuh SIEM |
| 环境类型 | 受控 SOC 实验室 |
## 严重程度
**实验室定级:** 中
**生产环境定级:** 高
### 理由
该事件涉及:
- 未授权的认证活动
- 成功的 SSH 登录
- 提升至 Root 权限
尽管未观察到持久化、横向移动或数据渗出,但**生产系统上的 Root 级别访问将显著增加业务风险**。
## MITRE ATT&CK 映射
| 技术 ID | 技术名称 |
|---|---|
| T1110 | 暴力破解 |
| T1021.004 | 远程服务: SSH |
| T1078 | 有效账户 |
| T1548.003 | 滥用特权提升控制机制 |
## 检测逻辑
当观察到以下一个或多个条件时,应触发此 Playbook:
- 来自同一源 IP 的多次 `Failed password` 事件
- 重复的 `Invalid user` 登录尝试
- 短时间窗口内的高频 SSH 失败
- 反复失败后的 `Accepted password` 事件
- 可疑登录后不久使用 `sudo`
- 远程认证后创建 Root 会话
## 日志证据
## 在 `/var/log/auth.log` 中观察到以下工件:
## 来自 192.168.100.10 的无效用户 fakeuser 密码失败
来自 192.168.100.10 的用户 ubuntu 密码失败
来自 192.168.100.10 的用户 ubuntu 密码被接受
为用户 ubuntu 打开的会话
由 ubuntu(uid=0) 为用户 root 打开的会话
日志确认的内容
重复的认证失败
使用有效凭据成功登录
通过 sudo 进行权限提升
Root 级别的会话访问
调查工作流
1. 验证警报
确认警报基于合法的 SSH 认证活动。
审查:
源 IP 地址
目标用户名
失败尝试的频率
成功是否紧随失败尝试之后
同一 IP 是否出现在所有事件中
2. 确认暴力破解模式
寻找:
重复的 Failed password 条目
Invalid user 尝试
PAM 失败
短时间窗口内的登录尝试
需回答的问题:
发生了多少次失败?
哪些用户名被作为目标?
该行为是否为自动化的?
同一源 IP 是否持续尝试直到成功登录?
3. 确认成功认证
检查:
Accepted password
为用户创建的会话
与先前失败的时间戳关联
需回答的问题:
哪个账户被成功访问?
登录发生在何时?
源 IP 是否与暴力破解活动相同?
登录是否经过授权?
4. 调查权限提升
审查:
sudo 活动
Root 会话创建
登录后执行的管理命令
需回答的问题:
攻击者是否在登录后立即提权?
作为 root 运行了哪些命令?
该用户是否被预期使用 sudo?
权限提升是合法的还是可疑的?
5. 检查进一步的可疑活动
调查以下迹象:
持久化
横向移动
新账户创建
SSH 密钥修改
可疑下载
数据渗出
日志篡改
此序列展示了从远程访问尝试到提升系统访问权限的完整攻击链。
## 事件分类
## 分类:真阳性
- 原因
同一源 IP 产生了重复的认证失败,随后使用有效账户成功认证。访问后紧接着发生权限提升,这强烈表明存在可疑活动。
影响评估
已确认的影响
发生了未授权认证
使用了有效账户
获得了 Root 访问权限
未观察到的证据
横向移动
持久化机制
恶意软件部署
数据渗出
业务影响
在此实验室中,事件已得到控制,并未产生实际业务影响。
在生产环境中,成功的 SSH 访问继而发生 Root 提权将代表关键资产的严重受损。
## 遏制措施
- 立即行动
- 在防火墙封禁源 IP 192.168.100.10
- 禁用或锁定受损账户
- 终止活动的 SSH 会话
- 审查并限制 sudo 访问权限
- 如怀疑有后续活动,隔离主机
- 账户安全行动
- 强制受影响用户重置密码
- 如适用,轮换重复使用的凭据
- 审查跨系统的近期认证活动
- 主机加固行动
## 此事件突显了用于 SOC 监控的有效检测逻辑:
- 来自单个 IP 的过多 SSH 认证失败尝试
- 多次失败后的成功 SSH 登录
- 远程登录后不久执行 sudo
- 与远程 SSH 会话关联的 Root 会话创建
- 无效用户名枚举尝试
## 结论
本 Playbook 展示了导致成功登录和 Root 权限提升的 SSH 暴力破解事件的完整调查路径。它可用作以下方面的实用参考:
Playbook Flowchart
## 目标
本 Playbook 旨在帮助 SOC 分析师:
- 检测 SSH 暴力破解尝试
- 验证在多次失败后是否发生了成功登录
- 调查认证后的活动
- 确认权限提升
- 遏制并修复威胁
- 在结构化的事件响应工作流中记录调查结果
## 事件摘要
来自 Ubuntu 服务器的认证日志分析发现了来自 `192.168.100.10` 的可疑 SSH 活动。
攻击模式包括:
- 多次 SSH 登录失败尝试
- 无效用户名尝试
- PAM 认证失败
- 随后使用有效凭据成功登录 SSH
- 使用 `sudo` 进行权限提升
- 创建 Root 会话
该行为与**导致有效账户滥用和权限提升的暴力破解攻击**一致。
## 环境详情
| 组件 | 值 |
|---|---|
| 攻击类型 | SSH 暴力破解 |
| 目标系统 | Ubuntu Server (`192.168.100.20`) |
| 攻击者系统 | Kali Linux (`192.168.100.10`) |
| 日志来源 | `/var/log/auth.log` |
| 监控平台 | Wazuh SIEM |
| 环境类型 | 受控 SOC 实验室 |
## 严重程度
**实验室定级:** 中
**生产环境定级:** 高
### 理由
该事件涉及:
- 未授权的认证活动
- 成功的 SSH 登录
- 提升至 Root 权限
尽管未观察到持久化、横向移动或数据渗出,但**生产系统上的 Root 级别访问将显著增加业务风险**。
## MITRE ATT&CK 映射
| 技术 ID | 技术名称 |
|---|---|
| T1110 | 暴力破解 |
| T1021.004 | 远程服务: SSH |
| T1078 | 有效账户 |
| T1548.003 | 滥用特权提升控制机制 |
## 检测逻辑
当观察到以下一个或多个条件时,应触发此 Playbook:
- 来自同一源 IP 的多次 `Failed password` 事件
- 重复的 `Invalid user` 登录尝试
- 短时间窗口内的高频 SSH 失败
- 反复失败后的 `Accepted password` 事件
- 可疑登录后不久使用 `sudo`
- 远程认证后创建 Root 会话
## 日志证据
## 在 `/var/log/auth.log` 中观察到以下工件:
## 来自 192.168.100.10 的无效用户 fakeuser 密码失败
来自 192.168.100.10 的用户 ubuntu 密码失败
来自 192.168.100.10 的用户 ubuntu 密码被接受
为用户 ubuntu 打开的会话
由 ubuntu(uid=0) 为用户 root 打开的会话
日志确认的内容
重复的认证失败
使用有效凭据成功登录
通过 sudo 进行权限提升
Root 级别的会话访问
调查工作流
1. 验证警报
确认警报基于合法的 SSH 认证活动。
审查:
源 IP 地址
目标用户名
失败尝试的频率
成功是否紧随失败尝试之后
同一 IP 是否出现在所有事件中
2. 确认暴力破解模式
寻找:
重复的 Failed password 条目
Invalid user 尝试
PAM 失败
短时间窗口内的登录尝试
需回答的问题:
发生了多少次失败?
哪些用户名被作为目标?
该行为是否为自动化的?
同一源 IP 是否持续尝试直到成功登录?
3. 确认成功认证
检查:
Accepted password
为用户创建的会话
与先前失败的时间戳关联
需回答的问题:
哪个账户被成功访问?
登录发生在何时?
源 IP 是否与暴力破解活动相同?
登录是否经过授权?
4. 调查权限提升
审查:
sudo 活动
Root 会话创建
登录后执行的管理命令
需回答的问题:
攻击者是否在登录后立即提权?
作为 root 运行了哪些命令?
该用户是否被预期使用 sudo?
权限提升是合法的还是可疑的?
5. 检查进一步的可疑活动
调查以下迹象:
持久化
横向移动
新账户创建
SSH 密钥修改
可疑下载
数据渗出
日志篡改
此序列展示了从远程访问尝试到提升系统访问权限的完整攻击链。
## 事件分类
## 分类:真阳性
- 原因
同一源 IP 产生了重复的认证失败,随后使用有效账户成功认证。访问后紧接着发生权限提升,这强烈表明存在可疑活动。
影响评估
已确认的影响
发生了未授权认证
使用了有效账户
获得了 Root 访问权限
未观察到的证据
横向移动
持久化机制
恶意软件部署
数据渗出
业务影响
在此实验室中,事件已得到控制,并未产生实际业务影响。
在生产环境中,成功的 SSH 访问继而发生 Root 提权将代表关键资产的严重受损。
## 遏制措施
- 立即行动
- 在防火墙封禁源 IP 192.168.100.10
- 禁用或锁定受损账户
- 终止活动的 SSH 会话
- 审查并限制 sudo 访问权限
- 如怀疑有后续活动,隔离主机
- 账户安全行动
- 强制受影响用户重置密码
- 如适用,轮换重复使用的凭据
- 审查跨系统的近期认证活动
- 主机加固行动
## 此事件突显了用于 SOC 监控的有效检测逻辑:
- 来自单个 IP 的过多 SSH 认证失败尝试
- 多次失败后的成功 SSH 登录
- 远程登录后不久执行 sudo
- 与远程 SSH 会话关联的 Root 会话创建
- 无效用户名枚举尝试
## 结论
本 Playbook 展示了导致成功登录和 Root 权限提升的 SSH 暴力破解事件的完整调查路径。它可用作以下方面的实用参考:标签:CSV导出, Playbook, SSH暴力破解, Wazuh, 内存分配, 协议分析, 安全工作流, 安全运营, 库, 应急响应, 扫描框架, 权限提升, 特权升级, 网络安全, 身份验证日志, 隐私保护