T1059.009: Облачный API

Злоумышленники могут использовать облачные API для выполнения вредоносных команд. API, доступные в облачных средах, предоставляют множество функций и возможностей для программного доступа практически ко всем аспектам клиентской среды. Эти API могут быть задействованы различными способами, такими как интерпретаторы командной строки (CLI), встроенные в браузер облачные оболочки, модули PowerShell, такие как Azure для PowerShell или пакеты для разработки ПО (SDK), доступные для таких языков, как Python.

Функциональность облачных API может обеспечить доступ на уровне администратора практически ко всем службам тенанта, включая вычисление, хранение данных, управление идентификацией и доступом (IAM), сетевые функции и политики безопасности.

При наличии соответствующих разрешений (часто получаемых вместе с такими авторизационными данными, как токен доступа к приложению и сессионные куки) злоумышленники могут использовать облачные API для вызова различных функций с целью осуществления вредоносных действий. Например, доступ к функциональным возможностям CLI и PowerShell может быть осуществлен посредством бинарных файлов, установленных на облачных или локальных узлах или доступных через облачную оболочку на базе браузера, предоставляемую многими облачными платформами (такими как AWS, Azure и GCP). Эти облачные оболочки часто представляют собой унифицированную среду для использования CLI и (или) сценарных модулей, размещенную в облачной среде в виде контейнера.

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

По возможности отслеживайте историю команд на узлах или в журналах облачного аудита, чтобы обнаружить несанкционированное или подозрительное выполнение команд.

Журналирование активности, связанной с использованием облачного API, обычно включено по умолчанию; события регистрируются в едином журнале аудита Microsoft, AWS CloudTrail и журнале активности администратора GCP. Просматривайте историю выполненных команд API в этих источниках. Информация о вызовах функций облачного API через командную строку и модули PowerShell также может сохраняться в журналах узла.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Использование надлежащего управления идентификацией и доступом (IAM) с политиками управления доступом на основе ролей (RBAC) для ограничения действий администраторов и предоставления истории административных действий для обнаружения несанкционированного использования и злоупотреблений.

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений, чтобы блокировать использование PowerShell CmdLets или других ресурсов на хосте для доступа к ресурсам облачного API.