T1087.004: Облачная учетная запись

Злоумышленники могут попытаться получить список облачных учетных записей. Облачные учетные записи создаются и настраиваются организацией для работы пользователей и служб, удаленной поддержки, а также администрирования ресурсов, предоставляемых поставщиком облачных сервисов или SaaS-приложением.

Аутентифицированным пользователям доступен ряд инструментов для поиска учетных записей. Командлет PowerShell Get-MsolRoleMember может использоваться для получения имен пользователей, имеющих указанную роль (группу разрешений) в Microsoft 365. Интерфейс командной строки Azure (AZ CLI) также позволяет получить список учетных записей пользователей домена, прошедших аутентификацию. Команда az ad user list выводит список всех пользователей домена.

В AWS команда aws iam list-users выводит список пользователей текущей учетной записи, а aws iam list-roles — список ролей IAM с определенным префиксом пути. В GCP команды gcloud iam service-accounts list и gcloud projects get-iam-policy выводят списки учетных записей служб и пользователей проекта.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

active_directory_attacks: PT-CR-2550: LDAP_Discovery: Пользователь выполнил подозрительный LDAP-запрос, который может свидетельствовать о разведке в домене

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте в журналах действия по сбору информации об облачных учетных записях, включая вызовы облачных API для их изучения.

Техники изучения системы и сети могут использоваться в некоторых штатных сетевых операциях, но чаще их применяют злоумышленники для ознакомления с особенностями среды. Поэтому рекомендуется рассматривать события и данные, связанные с изучением систем, не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права на обнаружение облачных учетных записей по принципу минимальных привилегий. Организациям следует ограничить количество пользователей внутри организации, обладающих ролью IAM с административными привилегиями, а также стремиться реже наделять пользователей постоянной привилегированной ролью и проводить периодические проверки привилегий пользователей, ролей и политик IAM.

IDM1047НазваниеАудитОписание

Регулярно проверяйте разрешения пользователей, чтобы убедиться, что возможность просматривать удостоверения IAM или иным образом получать информацию об облачных учетных записях имеют только те пользователи, которым это действительно необходимо.