T1098.003: Дополнительные облачные роли
Злоумышленник может добавить дополнительные роли или разрешения в контролируемую им облачную учетную запись, чтобы сохранить постоянный доступ к тенанту. Например, злоумышленники могут обновить политики IAM в облачных средах или добавить нового глобального администратора в среде Microsoft 365. При наличии достаточных прав скомпрометированная учетная запись позволяет получить практически неограниченный доступ к данным и настройкам (включая возможность сбросить пароли других администраторов) .
Изменение учетной записи может следовать сразу за созданием учетной записи или другими вредоносными действиями с учетными записями. Злоумышленники также могут изменять существующие учетные записи, подвергшиеся компрометации. Это может привести к повышению привилегий, особенно если добавленные роли позволяют получать доступ к дополнительным учетным записям.
Например, в среде AWS злоумышленник с соответствующими полномочиями может использовать операцию CreatePolicyVersion в AWS S3 API для определения новой версии политики IAM или операцию AttachUserPolicy для назначения скомпрометированной учетной записи пользователя политики IAM с дополнительными или особыми полномочиями.
В некоторых случаях злоумышленники могут добавлять роли к контролируемым ими учетным записям за пределами облачного тенанта жертвы. Это позволяет злоумышленнику выполнять действия внутри тенанта жертвы от имени этих внешних учетных записей без необходимости создавать учетную запись или изменять принадлежащую жертве учетную запись.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
yandex_cloud: PT-CR-1266: Yandex_Cloud_Security_Group_Manipulation: Пользователь выполнил действия с группой безопасности yandex_cloud: PT-CR-1250: Yandex_Cloud_Cluster_Admin_Role_Assign: Пользователю назначены права yandex_cloud: PT-CR-1262: Yandex_Cloud_Membership_Manage_Role_Assign: Пользователь назначил права на управление членством в группах IAM yandex_cloud: PT-CR-1249: Yandex_Cloud_Admin_Role_Assign: Пользователь назначил административные права доступа к каталогу или облаку vmware_aria: PT-CR-2383: AOFL_Cloud_Account_Added_Critical_Permission: Появление у пользователя новых разрешений из списка критически важных может свидетельствовать о попытке злоумышленника повысить привилегии и (или) закрепиться в системе Aria Operations for Logs vmware_aria: PT-CR-2370: AOFL_Role_Manage: Появление новой роли с критически важными разрешениями может свидетельствовать о попытке злоумышленника повысить привилегии и (или) закрепиться в системе Aria Operations for Logs
Способы обнаружения
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Изменения в учетной записи | Описание | Собирайте журналы использования облачных учетных записей администраторов и отслеживайте необычную активность при назначении ролей этим учетным записям. Отслеживайте учетные записи, имеющие назначенные роли администраторов и не входящие в перечень известных администраторов. Отслеживайте изменения политик IAM и ролей, привязанных к учетным записям пользователей. |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Проследите, чтобы все учетные записи использовали минимум необходимых привилегий. В средах Azure AD по возможности используйте Privileged Identity Management (PIM) для определения ролей, требующих двух или более одобрений перед назначением пользователям. |
|---|
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. |
|---|
| ID | M1018 | Название | Управление учетными записями | Описание | Проследите, чтобы у учетных записей пользователей с низким уровнем привилегий не было прав на выдачу разрешений учетным записям или обновление политики IAM. |
|---|