T1525: Внедрение кода в образ

Злоумышленники могут получить доступ к облаку или контейнеру и внедрить вредоносный код в хранящиеся там образы с целью закрепления. В образы Amazon Machine Images (AMI) в Amazon Web Services (AWS), образы Google Cloud Platform (GCP) и Azure, а также популярные среды запуска контейнеров, такие как Docker, может быть внедрен вредоносный код или бэкдор. В отличие от загрузки вредоносного ПО, эта техника преследует цель внедрить образ в хранилище в атакуемой среде. В зависимости от способа выделения ресурсов инфраструктуры это может обеспечить злоумышленникам постоянный доступ, если инструменту предоставления инфраструктуры предписано всегда использовать последний образ.

Для внедрения бэкдоров в образы облачных контейнеров был разработан специальный инструмент. Если у злоумышленника есть доступ к скомпрометированному экземпляру AWS и права, позволяющие получить список доступных образов контейнеров, он может внедрить бэкдор, например веб-шелл..

Способы обнаружения

IDDS0007Источник и компонент данныхОбраз: Создание образаОписание

Отслеживайте взаимодействие пользователей с образами и контейнерами и выявляйте те, которые добавлены необычным способом.

IDDS0007Источник и компонент данныхОбраз: Метаданные образаОписание

Периодически сравнивайте образы виртуальных машин со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

IDDS0007Источник и компонент данныхОбраз: Изменения в образеОписание

Отслеживайте взаимодействие пользователей с образами и контейнерами и выявляйте те, которые добавлены необычным способом. В контейнерных средах изменения можно обнаружить путем отслеживания журналов демона Docker или путем настройки и отслеживания журналов аудита Kubernetes в зависимости от конфигурации реестра.

Меры противодействия

IDM1045НазваниеПодпись исполняемого кодаОписание

Несколько поставщиков облачных услуг поддерживают модели доверия к содержимому, которые требуют, чтобы образы контейнеров были подписаны доверенными источниками.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте разрешения, связанные с созданием и изменением образов платформы или контейнеров, на основе принципа наименьших привилегий.

IDM1047НазваниеАудитОписание

Периодически проверяйте целостность образов и контейнеров, используемых при развертывании облака, чтобы убедиться, что они не были изменены и не содержат вредоносного ПО.