Техника на mitre.org

T1098.001: Дополнительные облачные учетные данные

Злоумышленники могут добавить собственные учетные данные в облачную учетную запись, чтобы сохранить постоянный доступ к атакуемым учетным записям и развернутым в целевой среде экземплярам.

Например, злоумышленники могут добавлять учетные данные для субъектов-служб и приложений в дополнение к существующим легитимным учетным данным в Azure AD. Эти учетные данные включают в себя как ключи X.509, так и пароли. При наличии достаточных разрешений существует множество способов добавить учетные данные, в том числе с помощью портала Azure, интерфейса командной строки Azure или модулей Azure либо Az PowerShell.

В средах типа "инфраструктура как услуга" (IaaS) после получения доступа через облачные учетные записи злоумышленники могут генерировать или импортировать собственные SSH-ключи, используя операции CreateKeyPair или ImportKeyPair в AWS S3 API или команду gcloud compute os-login ssh-keys add в GCP. Это позволяет получить постоянный доступ к экземплярам в облачной среде без дальнейшего использования скомпрометированных облачных учетных записей.

Для добавления ключей доступа к учетной записи злоумышленники также могут использовать операцию CreateAccessKey в AWS S3 API или команду gcloud iam service-accounts keys create в GCP. Если целевая учетная запись имеет права, отличные от прав запрашивающей учетной записи, злоумышленник также сможет повысить свои привилегии в среде (см. Облачные учетные записи). Например, в среде Azure AD злоумышленник с ролью администратора приложений может добавить новый набор учетных данных к субъекту-службе приложения. При этом злоумышленник сможет получить доступ к ролям и разрешениям субъекта-службы, которые могут отличаться от ролей и разрешений администратора приложения.

В средах AWS злоумышленники с соответствующими правами также могут использовать вызов API sts:GetFederationToken для создания временного набора учетных данных, привязанных к разрешениям исходной учетной записи (подделки учетных данных для веб-ресурсов). Эти временные учетные данные могут оставаться в силе в течение всего срока их действия, даже если учетные данные API исходной учетной записи деактивированы .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, содержащих следующий текст в командной строке: для AWS — «aws iam create-access-key» и «aws iam getfederationtoken»; для GCP — «gcloud iam service-accounts keys create»; для Azure — «New-AzureADServicePrincipalKeyCredential» и «New-AzureADApplicationKeyCredential»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Изменения в учетной записи	Описание	Отслеживайте неожиданные изменения в облачных учетных записях пользователей, например присутствие в журналах действий Azure информации о вредоносных изменениях субъектов-служб и приложений. Отслеживайте использование команд API и командной строки, добавляющих ключи доступа или токены к учетным записям, например `CreateAccessKey` и `GetFederationToken` в AWS или `service-accounts keys create` в GCP. Также отслеживайте использование функций API, создающих или импортирующих ключи SSH, особенно если они используются нетипичными пользователями или учетными записями, такими как root.

ID	Источник и компонент данных	Описание
DS0002	Учетная запись пользователя: Изменения в учетной записи	Отслеживайте неожиданные изменения в облачных учетных записях пользователей, например присутствие в журналах действий Azure информации о вредоносных изменениях субъектов-служб и приложений. Отслеживайте использование команд API и командной строки, добавляющих ключи доступа или токены к учетным записям, например `CreateAccessKey` и `GetFederationToken` в AWS или `service-accounts keys create` в GCP. Также отслеживайте использование функций API, создающих или импортирующих ключи SSH, особенно если они используются нетипичными пользователями или учетными записями, такими как root.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы у учетных записей пользователей с низким уровнем привилегий не было разрешения добавлять ключи доступа. В средах AWS запретите пользователям обращаться к API `sts:GetFederationToken` без явной потребности.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. По возможности применяйте многофакторную аутентификацию для вызовов API `CreateKeyPair` и `ImportKeyPair` с помощью политик IAM.

ID	M1030	Название	Сегментация сети	Описание	Настройте средства контроля доступа и межсетевые экраны, чтобы ограничить доступ к критическим системам и контроллерам домена. Большинство облачных сред поддерживают отдельные экземпляры виртуального частного облака (VPC), что позволяет еще больше сегментировать облачные системы.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Не позволяйте использовать учетные записи администратора домена или root для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников в непривилегированных системах.

ID	Название	Описание
M1018	Управление учетными записями	Проследите, чтобы у учетных записей пользователей с низким уровнем привилегий не было разрешения добавлять ключи доступа. В средах AWS запретите пользователям обращаться к API `sts:GetFederationToken` без явной потребности.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. По возможности применяйте многофакторную аутентификацию для вызовов API `CreateKeyPair` и `ImportKeyPair` с помощью политик IAM.
M1030	Сегментация сети	Настройте средства контроля доступа и межсетевые экраны, чтобы ограничить доступ к критическим системам и контроллерам домена. Большинство облачных сред поддерживают отдельные экземпляры виртуального частного облака (VPC), что позволяет еще больше сегментировать облачные системы.
M1026	Управление привилегированными учетными записями	Не позволяйте использовать учетные записи администратора домена или root для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников в непривилегированных системах.