T1059.009: Облачный API
Злоумышленники могут использовать облачные API для выполнения вредоносных команд. API, доступные в облачных средах, предоставляют множество функций и возможностей для программного доступа практически ко всем аспектам клиентской среды. Эти API могут быть задействованы различными способами, такими как интерпретаторы командной строки (CLI), встроенные в браузер облачные оболочки, модули PowerShell, такие как Azure для PowerShell или пакеты для разработки ПО (SDK), доступные для таких языков, как Python.
Функциональность облачных API может обеспечить доступ на уровне администратора практически ко всем службам тенанта, включая вычисление, хранение данных, управление идентификацией и доступом (IAM), сетевые функции и политики безопасности.
При наличии соответствующих разрешений (часто получаемых вместе с такими авторизационными данными, как токен доступа к приложению и сессионные куки) злоумышленники могут использовать облачные API для вызова различных функций с целью осуществления вредоносных действий. Например, доступ к функциональным возможностям CLI и PowerShell может быть осуществлен посредством бинарных файлов, установленных на облачных или локальных узлах или доступных через облачную оболочку на базе браузера, предоставляемую многими облачными платформами (такими как AWS, Azure и GCP). Эти облачные оболочки часто представляют собой унифицированную среду для использования CLI и (или) сценарных модулей, размещенную в облачной среде в виде контейнера.
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Consider reviewing command history in either host machines or cloud audit logs to determine if unauthorized or suspicious commands were executed. Cloud API activity logging is typically enabled by default and may be reviewed in sources like the Microsoft Unified Audit Log, AWS CloudTrail, and GCP Admin Acitivty logs. Review these sources for history of executed API commands. Host logs may also be reviewed to capture CLI commands or PowerShell module usage to invoke Cloud API functions. |
---|
Меры противодействия
ID | M1038 | Название | Защита от выполнения | Описание | Use application control where appropriate to block use of PowerShell CmdLets or other host based resources to access cloud API resources. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Use of proper Identity and Access Management (IAM) with Role Based Access Control (RBAC) policies to limit actions administrators can perform and provide a history of administrative actions to detect unauthorized use and abuse. |
---|