Техника на mitre.org

T1069.003: Облачные группы

Злоумышленники могут попытаться получить информацию о настройках облачных групп и разрешений. Информация об облачных группах, отличающихся уровнем привилегий, может помочь злоумышленникам определить конкретные роли пользователей и групп в облачной среде и понять, какие пользователи относятся к каждой конкретной группе.

При наличии доступа с аутентификацией может использоваться ряд инструментов, позволяющих найти группы с разным уровнем привилегий. Командлет PowerShell Get-MsolRole может быть использован для получения списка ролей и разрешений групп для учетных записей Exchange и Microsoft 365.

Azure CLI (AZ CLI) и API провайдера Google Cloud Identity также предоставляют интерфейсы для получения информации о группах и связанных с ними разрешениях. Команда az ad user get-member-groups выводит список групп, связанных с учетной записью пользователя в Azure, в то время как обращение к конечной точке API GET https://cloudidentity.googleapis.com/v1/groups перечисляет ресурсы групп, доступные для пользователя Google. В AWS команды ListRolePolicies и ListAttachedRolePolicies позволяют пользователям составить перечень политик, связанных с ролью.

Злоумышленники могут попытаться просмотреть список управления доступом (ACL) для объектов с целью определения их владельца и других учетных записей с доступом к объекту, например используя операцию GetBucketAcl в AWS S3 API. Используя эту информацию, злоумышленники могут атаковать учетные записи, обладающие требуемыми разрешениями для конкретного объекта, или повысить уровень привилегий уже скомпрометированных учетных записей для доступа к объекту.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

amazon_aws: PT-CR-3100: AWS_Discovery: За короткий промежуток времени выполнено множество запросов на получение информации об объектах AWS или правах пользователя. Это может быть попыткой злоумышленников собрать информацию с целью развития атаки

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках облачных групп и разрешений.

ID	DS0036	Источник и компонент данных	Группа: Получение списка групп	Описание	Отслеживайте получение списка доступных групп и (или) соответствующих им параметров.

ID	DS0036	Источник и компонент данных	Группа: Метаданные группы	Описание	Контекстные данные группы, описывающие ее и связанную с ней активность, с помощью которых можно попытаться получить информацию о настройках облачных групп и разрешений.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте сбор событий, связанных с попытками получить информацию о настройках облачных групп и разрешений.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках облачных групп и разрешений.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках облачных групп и разрешений.
DS0036	Группа: Получение списка групп	Отслеживайте получение списка доступных групп и (или) соответствующих им параметров.
DS0036	Группа: Метаданные группы	Контекстные данные группы, описывающие ее и связанную с ней активность, с помощью которых можно попытаться получить информацию о настройках облачных групп и разрешений.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте сбор событий, связанных с попытками получить информацию о настройках облачных групп и разрешений.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках облачных групп и разрешений.