Tweet
🧪 SSH bị lạm dụng như thế nào trong APT?
Trong các chiến dịch APT (Advanced Persistent Threat), SSH gần như là công cụ yêu thích số 1 của attacker trên Linux và cả hạ tầng hybrid.
Không phải vì SSH yếu,
mà vì SSH quá hợp pháp.
🧠 Tư duy APT: “Ẩn mình trong traffic bình thường”
APT không muốn:
🔑 1. SSH Key – Cửa hậu hoàn hảo cho APT
APT rất hiếm khi brute-force.
Chúng thường:
👉 Dùng key để login hợp lệ 100%
😈 Vì sao SOC rất khó phát hiện?
👉 Trông giống admin thật.
🔄 2. SSH Agent Forwarding – Lateral Movement không cần key
Một kỹ thuật cực nguy hiểm.
APT không cần copy key.
Chúng:
🚨 Dấu hiệu SOC cần chú ý
🌐 3. SSH Tunneling – Kênh C2 đội lốt quản trị
APT rất hay dùng SSH để:
Nhưng bên trong là:
🧬 4. SSH làm “Remote Admin Tool” trá hình
Trong APT, SSH chính là RAT:
👉 Chỉ cần SSH + shell.
🧾 5. Xóa dấu vết qua SSH
APT thường:
🧠 Tóm lại: SSH trong APT dùng để làm gì?
SSH bị lạm dụng để:
🛡️ SOC phòng thủ SSH trong APT như thế nào?
SOC không thể chỉ:
❌ Chặn SSH
❌ Block port 22
Mà cần:
✔ Giám sát SSH login theo hành vi
✔ Phát hiện login bất thường theo thời gian/IP
✔ Theo dõi agent forwarding
✔ Baseline admin access
✔ Correlate SSH với network flow
✔ Audit SSH key định kỳ
💡 Quan trọng nhất:
Phát hiện “ai đang dùng SSH” quan trọng hơn “SSH đang chạy”.
🏁 Kết luận
APT không phá cửa.
APT mở cửa, đi vào, và ở lại.
Và SSH chính là:
SOC hiện đại không sợ exploit,
SOC sợ nhất là hành vi hợp pháp bị lạm dụng.
Trong các chiến dịch APT (Advanced Persistent Threat), SSH gần như là công cụ yêu thích số 1 của attacker trên Linux và cả hạ tầng hybrid.
Không phải vì SSH yếu,
mà vì SSH quá hợp pháp.
🧠 Tư duy APT: “Ẩn mình trong traffic bình thường”
APT không muốn:
- Scan ầm ĩ
- Malware lộ diện
- C2 dễ bị block
- Giao thức phổ biến
- Được whitelist
- Admin nào cũng dùng
🔑 1. SSH Key – Cửa hậu hoàn hảo cho APT
APT rất hiếm khi brute-force.
Chúng thường:
- Đánh cắp SSH private key từ máy admin
- Thu thập key từ backup, Git repo, home directory
- Lấy key qua malware trên workstation
👉 Dùng key để login hợp lệ 100%
😈 Vì sao SOC rất khó phát hiện?
- Không có login fail
- Không password
- Không exploit
user logged in using publickey
👉 Trông giống admin thật.
🔄 2. SSH Agent Forwarding – Lateral Movement không cần key
Một kỹ thuật cực nguy hiểm.
APT không cần copy key.
Chúng:
- Login vào 1 server
- Lạm dụng SSH agent forwarding
- Từ đó nhảy sang server khác
- Không để lại key trên disk
- Không tạo file đáng ngờ
- Chỉ “mượn” quyền của admin
🚨 Dấu hiệu SOC cần chú ý
- SSH hop chain bất thường
- Một phiên SSH mở rất lâu
- Login từ server nội bộ thay vì user workstation
- Agent forwarding được bật không theo policy
🌐 3. SSH Tunneling – Kênh C2 đội lốt quản trị
APT rất hay dùng SSH để:
- Tunnel traffic C2
- Forward port nội bộ ra ngoài
- Bypass firewall
- Dùng SSH để truy cập DB nội bộ
- Dùng SSH để quản lý server khác
SSH traffic hợp lệ
Nhưng bên trong là:
Command & Control
🧬 4. SSH làm “Remote Admin Tool” trá hình
Trong APT, SSH chính là RAT:
- Thực thi lệnh
- Copy file
- Pivot sang hệ khác
- Thu thập dữ liệu
- Backdoor binary
- C2 framework
👉 Chỉ cần SSH + shell.
🧾 5. Xóa dấu vết qua SSH
APT thường:
- Disable command history
- Chạy lệnh không lưu .bash_history
- Sử dụng non-interactive SSH
- Không command log
- Chỉ còn dấu vết kết nối
“Chả thấy ai làm gì cả”
🧠 Tóm lại: SSH trong APT dùng để làm gì?
SSH bị lạm dụng để:
- Persistence (SSH key)
- Lateral movement
- Command execution
- Data exfiltration
- C2 communication
- Che giấu hoạt động
🛡️ SOC phòng thủ SSH trong APT như thế nào?
SOC không thể chỉ:
❌ Chặn SSH
❌ Block port 22
Mà cần:
✔ Giám sát SSH login theo hành vi
✔ Phát hiện login bất thường theo thời gian/IP
✔ Theo dõi agent forwarding
✔ Baseline admin access
✔ Correlate SSH với network flow
✔ Audit SSH key định kỳ
💡 Quan trọng nhất:
Phát hiện “ai đang dùng SSH” quan trọng hơn “SSH đang chạy”.
🏁 Kết luận
APT không phá cửa.
APT mở cửa, đi vào, và ở lại.
Và SSH chính là:
“Chiếc áo admin hoàn hảo cho attacker”
SOC hiện đại không sợ exploit,
SOC sợ nhất là hành vi hợp pháp bị lạm dụng.