T1204.003: Вредоносный образ
Злоумышленники могут рассчитывать на то, что пользователь откроет вредоносный образ и запустит выполнение кода. Образы Amazon Machine Images (AMI) в Amazon Web Services (AWS), образы Google Cloud Platform (GCP) и Azure, а также популярные среды запуска контейнеров, такие как Docker, могут быть скомпрометированы путем внедрения бэкдоров. Злоумышленники могут загружать такие скомпрометированные образы в публичные репозитории, используя техники Загрузка вредоносного ПО. Пользователи скачивают вредоносный образ и развертывают из него экземпляр или контейнер, предоставляя злоумышленникам первоначальный доступ к своим системам. В результате этих действий в экземпляре или контейнере может выполняться вредоносный код, например запускающий майнинг криптовалюты.
Злоумышленники также могут выбирать для образов имена, которые увеличат вероятность того, что пользователи по ошибке развернут экземпляр или контейнер из образа (например, использовать технику Подбор легитимного имени или расположения).
Способы обнаружения
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на выполнение кода при открытии пользователем вредоносного образа. |
|---|
| ID | DS0032 | Источник и компонент данных | Контейнер: Запуск контейнера | Описание | Отслеживайте поведение контейнеров в среде, чтобы выявить аномальное поведение или вредоносную активность после развертывания пользователями вредоносных образов. |
|---|
| ID | DS0030 | Источник и компонент данных | Экземпляр: Создание экземпляра | Описание | Отслеживайте создание экземпляров, позволяющих использовать уязвимости компьютера или программы с выходом в интернет (с помощью других программ, данных или команд), чтобы вызвать непредусмотренное или неожиданное поведение. |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использовать недостатки компьютера или программы с выходом в интернет (с помощью программ, данных или команд), чтобы вызвать непредусмотренное или непреднамеренное поведение. |
|---|
| ID | DS0007 | Источник и компонент данных | Образ: Создание образа | Описание | Отслеживайте состояние локального реестра образов, чтобы исключить добавление в него вредоносных образов. |
|---|
| ID | DS0032 | Источник и компонент данных | Контейнер: Создание контейнера | Описание | Отслеживайте развертывание новых контейнеров, особенно из недавно созданных образов. |
|---|
| ID | DS0030 | Источник и компонент данных | Экземпляр: Запуск экземпляра | Описание | Отслеживайте активацию или вызов экземпляра (например, instance.start в журналах аудита GCP). |
|---|
Меры противодействия
| ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Для блокировки активности можно использовать системы предотвращения вторжений в сеть и системы, предназначенные для сканирования и удаления вредоносных загрузок. |
|---|
| ID | M1045 | Название | Подпись исполняемого кода | Описание | Используйте модель доверия, такую как Docker Content Trust с цифровыми подписями, чтобы обеспечить проверку целостности и издателя для образов с определенными тегами во время выполнения. |
|---|
| ID | M1017 | Название | Обучение пользователей | Описание | Проинформируйте пользователей о существовании вредоносных образов и о том, как избежать развертывания из них инстансов и контейнеров. |
|---|
| ID | M1047 | Название | Аудит | Описание | Проводите аудит развернутых в среде образов на предмет отсутствия в них вредоносных компонентов. |
|---|