T1535: Облачные инфраструктуры в редко используемых регионах

Злоумышленники могут создать облачные экземпляры в редко используемых географических регионах для предотвращения обнаружения. Доступ обычно приобретается путем компрометации учетных записей, используемых для управления облачной инфраструктурой.

Поставщики облачных сервисов часто размещают свою инфраструктуру по всему миру для повышения производительности, в целях резервирования, а также для того, чтобы клиенты могли соблюдать требования законодательства. Зачастую клиент работает только в части доступных регионов и может не следить активно за другими регионами. Если злоумышленники создадут ресурсы в неиспользуемом регионе, то смогут действовать незаметно.

В одном из вариантов подобной активности используются различия в функциональности облачной инфраструктуры в различных регионах. Чтобы избежать обнаружения своей активности, злоумышленник может использовать регионы, в которых не поддерживаются расширенные возможности обнаружения.

Один из примеров эксплуатации злоумышленниками неиспользуемых регионов AWS — майнинг криптовалюты путем несанкционированного использования ресурсов, который со временем может обойтись организациям в значительную сумму в зависимости от использованной вычислительной мощности.

Способы обнаружения

IDDS0030Источник и компонент данныхЭкземпляр: Метаданные экземпляраОписание

Отслеживайте активность в обычно неиспользуемых регионах или случаи, когда число активных экземпляров превышает порог. По возможности настройте соответствующие оповещения.

IDDS0030Источник и компонент данныхЭкземпляр: Создание экземпляраОписание

Отслеживайте системные журналы для контроля действий, выполняемых экземплярами во всех облачных средах и регионах.

Меры противодействия

IDM1054НазваниеИзменение конфигурации ПООписание

Поставщики облачных услуг могут позволить клиентам деактивировать неиспользуемые регионы.