T1021.008: Прямое подключение к облачной ВМ

Злоумышленники могут использовать существующие учетные записи для прямого входа в доступную облачную вычислительную инфраструктуру с помощью нативных облачных методов. Многие поставщики облачных сервисов предлагают интерактивные подключения к виртуальной инфраструктуре, доступ к которой можно получить через облачный API, например Azure Serial Console, AWS EC2 Instance Connect и AWS System Manager.

В качестве способов аутентификации для таких соединений могут использоваться пароли, токены доступа к приложениям или ключи SSH. Эти нативные облачные методы могут по умолчанию обеспечивать привилегированный доступ на хосте с доступом уровня SYSTEM или root.

Злоумышленники могут использовать эти нативные облачные методы для прямого доступа к виртуальной инфраструктуре и перемещения по среде. В отличие от средств администрирования облака, эти соединения обычно обеспечивают прямой консольный доступ к ВМ, а не выполнение сценариев.

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте события сетевых сеансов в журналах облачного аудита и узла. Они хранятся в CloudTrail, едином журнале аудита, журналах событий Windows и в журнале /var/log/auth.log или /var/log/secure в системах Linux.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте круг пользователей с доступом к вычислительной инфраструктуре через нативные облачные сервисы.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Если прямые подключения виртуальных машин не требуются для административного использования, по возможности заблокируйте эти типы подключений.