T1525: Внедрение кода в образ
Злоумышленники могут получить доступ к облаку или контейнеру и внедрить вредоносный код в хранящиеся там образы с целью закрепления. В образы Amazon Machine Images (AMI) в Amazon Web Services (AWS), образы Google Cloud Platform (GCP) и Azure, а также популярные среды запуска контейнеров, такие как Docker, может быть внедрен вредоносный код или бэкдор. В отличие от загрузки вредоносного ПО, эта техника преследует цель внедрить образ в хранилище в атакуемой среде. В зависимости от способа выделения ресурсов инфраструктуры это может обеспечить злоумышленникам постоянный доступ, если инструменту предоставления инфраструктуры предписано всегда использовать последний образ.
Для внедрения бэкдоров в образы облачных контейнеров был разработан специальный инструмент. Если у злоумышленника есть доступ к скомпрометированному экземпляру AWS и права, позволяющие получить список доступных образов контейнеров, он может внедрить бэкдор, например веб-шелл..
Способы обнаружения
ID | DS0007 | Источник и компонент данных | Образ: Создание образа | Описание | Отслеживайте взаимодействие пользователей с образами и контейнерами и выявляйте те, которые добавлены необычным способом. |
---|
ID | DS0007 | Источник и компонент данных | Образ: Метаданные образа | Описание | Периодически сравнивайте образы виртуальных машин со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками. |
---|
ID | DS0007 | Источник и компонент данных | Образ: Изменения в образе | Описание | Отслеживайте взаимодействие пользователей с образами и контейнерами и выявляйте те, которые добавлены необычным способом. В контейнерных средах изменения можно обнаружить путем отслеживания журналов демона Docker или путем настройки и отслеживания журналов аудита Kubernetes в зависимости от конфигурации реестра. |
---|
Меры противодействия
ID | M1045 | Название | Подпись исполняемого кода | Описание | Несколько поставщиков облачных услуг поддерживают модели доверия к содержимому, которые требуют, чтобы образы контейнеров были подписаны доверенными источниками. |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте разрешения, связанные с созданием и изменением образов платформы или контейнеров, на основе принципа наименьших привилегий. |
---|
ID | M1047 | Название | Аудит | Описание | Периодически проверяйте целостность образов и контейнеров, используемых при развертывании облака, чтобы убедиться, что они не были изменены и не содержат вредоносного ПО. |
---|