T1136.003: Облачная учетная запись
Злоумышленники могут создать облачную учетную запись с целью сохранения доступа к целевой системе. При достаточном уровне доступа такие учетные записи могут использоваться для реализации дополнительной возможности авторизованного доступа, не требующей развертывания в системе инструментов для постоянного удаленного доступа.
Помимо учетных записей пользователей, могут существовать и облачные учетные записи, связанные со службами. Поставщики облачных сервисов по-разному реализуют концепцию учетных записей служб. В Azure учетные записи служб включают в себя субъекты-службы и управляемые удостоверения, которые могут быть привязаны к различным ресурсам (например, приложениям OAuth, бессерверным функциям и виртуальным машинам) с целью предоставить этим ресурсам разрешения на выполнение различных действий в среде. В GCP учетные записи служб также могут быть привязаны к определенным ресурсам, а также имперсонированы другими учетными записями для временного привилегированного доступа к облачным ресурсам. В AWS отдельной концепции учетных записей служб нет, но ресурсам можно напрямую предоставлять разрешения на присвоение ролей.
Злоумышленники могут создавать учетные записи, имеющие доступ только к определенным облачным службам, что снижает вероятность их обнаружения.
Создав облачную учетную запись, злоумышленник может манипулировать ею, чтобы обеспечить закрепление в системе и получить доступ к дополнительным ресурсам, — например, добавляя дополнительные облачные учетные данные или назначая дополнительные облачные роли.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
yandex_cloud: PT-CR-1252: Yandex_Cloud_Cluster_User_Manage: Пользователь создал или изменил учетную запись пользователя
Способы обнаружения
| ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Создание учетной записи | Описание | Отслеживайте создание учетных записей пользователей, анализируя журналы использования облачных учетных записей пользователей и администраторов. Это поможет выявить необычную активность при создании новых учетных записей, например учетные записи, не соответствующие установленным соглашениям об именовании, или те, которые были созданы неавторизованными пользователями или из неразрешенных мест. Также обращайте внимание на создание учетных записей администраторов, не входящих в перечень известных администраторов. |
|---|
Меры противодействия
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. |
|---|
| ID | M1030 | Название | Сегментация сети | Описание | Настройте средства контроля доступа и межсетевые экраны, чтобы ограничить доступ к критическим системам и контроллерам домена. Большинство облачных сред поддерживают отдельные экземпляры виртуального частного облака (VPC), что позволяет еще больше сегментировать облачные системы. |
|---|
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте количество учетных записей с правами на создание других учетных записей. Не позволяйте использовать привилегированные учетные записи для выполнения повседневных операций, которые могут подвергнуть их опасности со стороны потенциальных злоумышленников в непривилегированных системах. |
|---|