T1069.003: Облачные группы

Злоумышленники могут попытаться получить информацию о настройках облачных групп и разрешений. Информация об облачных группах, отличающихся уровнем привилегий, может помочь злоумышленникам определить конкретные роли пользователей и групп в облачной среде и понять, какие пользователи относятся к каждой конкретной группе.

При наличии доступа с аутентификацией может использоваться ряд инструментов, позволяющих найти группы с разным уровнем привилегий. Командлет PowerShell Get-MsolRole может быть использован для получения списка ролей и разрешений групп для учетных записей Exchange и Microsoft 365.

Azure CLI (AZ CLI) и API провайдера Google Cloud Identity также предоставляют интерфейсы для получения информации о группах и связанных с ними разрешениях. Команда az ad user get-member-groups выводит список групп, связанных с учетной записью пользователя в Azure, в то время как обращение к конечной точке API GET https://cloudidentity.googleapis.com/v1/groups перечисляет ресурсы групп, доступные для пользователя Google. В AWS команды ListRolePolicies и ListAttachedRolePolicies позволяют пользователям составить перечень политик, связанных с ролью.

Злоумышленники могут попытаться просмотреть список управления доступом (ACL) для объектов с целью определения их владельца и других учетных записей с доступом к объекту, например используя операцию GetBucketAcl в AWS S3 API. Используя эту информацию, злоумышленники могут атаковать учетные записи, обладающие требуемыми разрешениями для конкретного объекта, или повысить уровень привилегий уже скомпрометированных учетных записей для доступа к объекту.

Способы обнаружения

IDDS0036Источник и компонент данныхГруппа: Перечисление группОписание

Monitor for an extracted list of available groups and/or their associated setting

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor for events collected that may attempt to find cloud groups and permission settings.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may attempt to find cloud groups and permission settings.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor for executed commands and arguments that may attempt to find cloud groups and permission settings.

IDDS0036Источник и компонент данныхГруппа: Метаданные группыОписание

Contextual data about a group which describes group and activity around it that may attempt to find cloud groups and permission settings.