T1021.008: Прямое подключение к облачной ВМ
Злоумышленники могут использовать существующие учетные записи для прямого входа в доступную облачную вычислительную инфраструктуру с помощью нативных облачных методов. Многие поставщики облачных сервисов предлагают интерактивные подключения к виртуальной инфраструктуре, доступ к которой можно получить через облачный API, например Azure Serial Console, AWS EC2 Instance Connect и AWS System Manager.
В качестве способов аутентификации для таких соединений могут использоваться пароли, токены доступа к приложениям или ключи SSH. Эти нативные облачные методы могут по умолчанию обеспечивать привилегированный доступ на хосте с доступом уровня SYSTEM или root.
Злоумышленники могут использовать эти нативные облачные методы для прямого доступа к виртуальной инфраструктуре и перемещения по среде. В отличие от средств администрирования облака, эти соединения обычно обеспечивают прямой консольный доступ к ВМ, а не выполнение сценариев.
Способы обнаружения
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте события сетевых сеансов в журналах облачного аудита и узла. Они хранятся в CloudTrail, едином журнале аудита, журналах событий Windows и в журнале |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте круг пользователей с доступом к вычислительной инфраструктуре через нативные облачные сервисы. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Если прямые подключения виртуальных машин не требуются для административного использования, по возможности заблокируйте эти типы подключений. |
---|