T1069.003: Облачные группы
Злоумышленники могут попытаться получить информацию о настройках облачных групп и разрешений. Информация об облачных группах, отличающихся уровнем привилегий, может помочь злоумышленникам определить конкретные роли пользователей и групп в облачной среде и понять, какие пользователи относятся к каждой конкретной группе.
При наличии доступа с аутентификацией может использоваться ряд инструментов, позволяющих найти группы с разным уровнем привилегий. Командлет PowerShell Get-MsolRole
может быть использован для получения списка ролей и разрешений групп для учетных записей Exchange и Microsoft 365.
Azure CLI (AZ CLI) и API провайдера Google Cloud Identity также предоставляют интерфейсы для получения информации о группах и связанных с ними разрешениях. Команда az ad user get-member-groups
выводит список групп, связанных с учетной записью пользователя в Azure, в то время как обращение к конечной точке API GET https://cloudidentity.googleapis.com/v1/groups
перечисляет ресурсы групп, доступные для пользователя Google. В AWS команды ListRolePolicies и ListAttachedRolePolicies позволяют пользователям составить перечень политик, связанных с ролью.
Злоумышленники могут попытаться просмотреть список управления доступом (ACL) для объектов с целью определения их владельца и других учетных записей с доступом к объекту, например используя операцию GetBucketAcl
в AWS S3 API. Используя эту информацию, злоумышленники могут атаковать учетные записи, обладающие требуемыми разрешениями для конкретного объекта, или повысить уровень привилегий уже скомпрометированных учетных записей для доступа к объекту.
Способы обнаружения
ID | DS0036 | Источник и компонент данных | Группа: Перечисление групп | Описание | Monitor for an extracted list of available groups and/or their associated setting |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Monitor for events collected that may attempt to find cloud groups and permission settings. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may attempt to find cloud groups and permission settings. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor for executed commands and arguments that may attempt to find cloud groups and permission settings. |
---|
ID | DS0036 | Источник и компонент данных | Группа: Метаданные группы | Описание | Contextual data about a group which describes group and activity around it that may attempt to find cloud groups and permission settings. |
---|