T1069.003: Облачные группы
Злоумышленники могут попытаться получить информацию о настройках облачных групп и разрешений. Информация об облачных группах, отличающихся уровнем привилегий, может помочь злоумышленникам определить конкретные роли пользователей и групп в облачной среде и понять, какие пользователи относятся к каждой конкретной группе.
При наличии доступа с аутентификацией может использоваться ряд инструментов, позволяющих найти группы с разным уровнем привилегий. Командлет PowerShell Get-MsolRole может быть использован для получения списка ролей и разрешений групп для учетных записей Exchange и Microsoft 365.
Azure CLI (AZ CLI) и API провайдера Google Cloud Identity также предоставляют интерфейсы для получения информации о группах и связанных с ними разрешениях. Команда az ad user get-member-groups выводит список групп, связанных с учетной записью пользователя в Azure, в то время как обращение к конечной точке API GET https://cloudidentity.googleapis.com/v1/groups перечисляет ресурсы групп, доступные для пользователя Google. В AWS команды ListRolePolicies и ListAttachedRolePolicies позволяют пользователям составить перечень политик, связанных с ролью.
Злоумышленники могут попытаться просмотреть список управления доступом (ACL) для объектов с целью определения их владельца и других учетных записей с доступом к объекту, например используя операцию GetBucketAcl в AWS S3 API. Используя эту информацию, злоумышленники могут атаковать учетные записи, обладающие требуемыми разрешениями для конкретного объекта, или повысить уровень привилегий уже скомпрометированных учетных записей для доступа к объекту.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг события запуска командлета PowerShell Get-MsolRole (получение ролей и групп разрешений для учетных записей Exchange и Office 365). — Мониторинг событий запуска процессов, в командной строке которых есть команда «az ad user get-member-groups» (Azure). — Мониторинг событий запуска процессов, в командной строке которых есть фрагменты команд «aws iam list-role-policies», «aws iam list-attached-role-policies» и «get-bucket-acl» — либо команды отправки веб-запросов к iam, URL которых содержит одну из подстрок «ListRolePolicies» (например, https://iam.amazonaws.com/?Action=ListRolePolicies), «ListAttachedRolePolicies» (например, https://iam.amazonaws.com/?Action=ListAttachedRolePolicies), «acl» (например, GET ?acl HTTP/1.1 Host: bucket.s3..amazonaws.com) (получение информации для AWS). Мониторинг событий запуска процессов, в командной строке которых есть команды для отправки веб-запросов к https://cloudidentity.googleapis.com/v1/groups (Google Cloud)
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте сбор событий, связанных с попытками получить информацию о настройках облачных групп и разрешений. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о настройках облачных групп и разрешений. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о настройках облачных групп и разрешений. |
|---|
| ID | DS0036 | Источник и компонент данных | Группа: Метаданные группы | Описание | Контекстные данные группы, описывающие ее и связанную с ней активность, с помощью которых можно попытаться получить информацию о настройках облачных групп и разрешений. |
|---|
| ID | DS0036 | Источник и компонент данных | Группа: Получение списка групп | Описание | Отслеживайте получение списка доступных групп и (или) соответствующих им параметров. |
|---|