通过进展监控检测SSH活动

发布时间：2022-01-15 09:52:42 所属栏目：安全来源：互联网

导读：在进行的许多渗透测试活动中，我注意到有许多攻击都是通过使用合法凭据的SSH访问开始的。现在你可能会想，用户究竟为什么要在macOS上启用SSH服务。这对普通用户来说真的有必要吗?当然，对于普通用户来说，答案是否定的。这完全没有必要，但我认为基于macOS的

在进行的许多渗透测试活动中，我注意到有许多攻击都是通过使用合法凭据的SSH访问开始的。现在你可能会想，用户究竟为什么要在macOS上启用SSH服务。这对普通用户来说真的有必要吗?当然，对于普通用户来说，答案是否定的。这完全没有必要，但我认为基于macOS的构建服务器、测试服务器和开发人员系统经常启用SSH的可能性很大。不仅如此，一旦攻击者通过任何方式获得了对系统的访问权，SSH就成了一种奇妙的“live of the land”技术，用于在受到攻击的网络上进行横向移动。

要理解如何最好地跟踪不同的SSH行为，我们首先必须熟悉在创建SSH会话中发挥作用的不同二进制文件。

smd二进制文件(可能是服务管理守护进程)实际上控制SSH是启用还是禁用。随着时间的推移，苹果将更多的责任转移到了这个守护进程中。这是主要的SSH服务可执行文件，当你尝试登录到一个系统时，会启动多个sshd实例，以便处理登录过程和用户会话，这可能是在处理SSH时想到的最常见的服务。

这个sshd帮助进程在尝试登录时启动，它通常立即执行sshd服务。在一些用例中，SSH -keygen-wrapper会执行一些不同的操作，但是在大多数SSH设置中，该进程的操作行为与名称完全一致。不管它的名字是什么，SSH -agent实际上并不是侦听SSH连接的服务。事实上，即使禁用了SSH，该进程也可能在你的系统上运行，它最以SSH密钥的管理而闻名。实际上，用户不需要通过用户名和密码登录即可。可以在/System/Library/LaunchAgents/com.openssh.ssh-agent.plist中找到启动程序，并在启动时使用未记录的-l参数加载该启动程序。

身份验证过程结束后，在系统上生成一个交互式shell，它将根据用户的请求执行命令。这个shell是用户设置为默认的shell。对我来说，它是zsh。

为了更好地理解这些进程是如何连接的，让我们看看通过SSH登录时使用的具体步骤。在macOS上，可以通过系统首选项>共享>远程登录来启用SSH登录。注意，启用这个特性实际上不会创建任何类型的任何新的sshd进程。这有点令人失望，因为这意味着我们不能进行简单的进程监视来确定SSH是启用了还是禁用了，但是如果你使用SSH登录并保持会话处于打开状态，你现在应该拥有如下进程树。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

促进网络安全科普共筑	开源软件安全度走向成
首席信息安全官依然会	如何创建有弹性的网络