T1087.004: Облачная учетная запись

Злоумышленники могут попытаться получить список облачных учетных записей. Облачные учетные записи создаются и настраиваются организацией для работы пользователей и служб, удаленной поддержки, а также администрирования ресурсов, предоставляемых поставщиком облачных сервисов или SaaS-приложением.

Аутентифицированным пользователям доступен ряд инструментов для поиска учетных записей. Командлет PowerShell Get-MsolRoleMember может использоваться для получения имен пользователей, имеющих указанную роль (группу разрешений) в Microsoft 365. Интерфейс командной строки Azure (AZ CLI) также позволяет получить список учетных записей пользователей домена, прошедших аутентификацию. Команда az ad user list выводит список всех пользователей домена.

В AWS команда aws iam list-users выводит список пользователей текущей учетной записи, а aws iam list-roles — список ролей IAM с определенным префиксом пути. В GCP команды gcloud iam service-accounts list и gcloud projects get-iam-policy выводят списки учетных записей служб и пользователей проекта.

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor logs for actions that could be taken to gather information about cloud accounts, including the use of calls to cloud APIs that perform account discovery.

System and network discovery techniques normally occur throughout an operation as an adversary learns the environment, and also to an extent in normal network operations. Therefore discovery data and events should not be viewed in isolation, but as part of a chain of behavior that could lead to other activities, such as Lateral Movement, based on the information obtained.

Меры противодействия

IDM1047НазваниеАудитОписание

Routinely check user permissions to ensure only the expected users have the ability to list IAM identities or otherwise discover cloud accounts.

IDM1018НазваниеУправление учетными записямиОписание

Limit permissions to discover cloud accounts in accordance with least privilege. Organizations should limit the number of users within the organization with an IAM role that has administrative privileges, strive to reduce all permanent privileged role assignments, and conduct periodic entitlement reviews on IAM users, roles and policies.