T1552.005: API метаданных облачных экземпляров
Злоумышленники могут попытаться получить доступ к API метаданных облачных экземпляров, чтобы собрать учетные и другие конфиденциальные данные.
Большинство поставщиков облачных сервисов поддерживают API метаданных облачных экземпляров — это служба, которая содержит сведения о запущенных экземплярах виртуальных машин и позволяет приложениям получать эти сведения. Доступные сведения обычно включают имя, группу безопасности и дополнительные метаданные, в том числе учетные данные и скрипты UserData, которые могут содержать дополнительные секреты. Служба API метаданных экземпляров обеспечивает удобство управления приложениями и доступна каждому пользователю, у которого есть доступ к экземпляру. Известна как минимум одна крупномасштабная кампания, в которой злоумышленники использовали API облачных метаданных.
Если злоумышленники имеют доступ к запущенному экземпляру виртуальной машины, они могут сделать прямой запрос к API метаданных экземпляра для получения учетных данных, предоставляющих доступ к дополнительным ресурсам. Кроме того, злоумышленники могут использовать уязвимость общедоступного веб-прокси, позволяющую подделывать запросы на стороне сервера, чтобы получить доступ к конфиденциальной информации через запрос к API метаданных экземпляров.
Согласно повсеместно принятому стандарту, поставщики облачных сервисов размещают API метаданных экземпляров по адресу http[:]//169.254.169.254
.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий запуска командлета Get-MsolUser из модуля MS Online (случай для Azure). Пример: Get-MsolUser -All; foreach($user in $users){$props = @();$user | Get-Member | foreach-object{$props+=$_.Name}; foreach($prop in $props){if($user.$prop -like "password"){Write-Output ("[*]" + $user.UserPrincipalName + "[" + $prop + "]" + " : " + $user.$prop)}}}. — Мониторинг событий запуска процессов, в командной строке которых выполняется веб-запрос к API метаданных экземпляра по умолчанию 169.254.169.254 (или 169.254.170.2), чтобы экспортировать содержащиеся в нем данные в файл. В URL запроса можно искать следующие фрагменты: «metadata», «meta-data», «credentials». Пример: Invoke-RestMethod -Headers @{"Metadata"="true"} -Method GET -Uri "http://169.254.169.254/metadata/instance?api-version=2021-02-01 " | ConvertTo-Json -Depth 64 > #{output_file}
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Можно обнаружить использование злоумышленниками учетных данных, например полученных из существующих учетных записей. |
---|
Меры противодействия
ID | M1035 | Название | Ограничение доступа к ресурсам по сети | Описание | Ограничьте доступ к Instance Metadata API с помощью межсетевого экрана на базе хоста, например iptables. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите ненужные службы метаданных и ограничьте или отключите небезопасные версии используемых служб метаданных, чтобы предотвратить доступ злоумышленника. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Ограничьте доступ к API метаданных экземпляра. Правильно настроенный межсетевой экран веб-приложений (WAF) может помочь предотвратить использование внешними злоумышленниками атак подделки запросов на стороне сервера (SSRF), которые позволяют получить доступ к API метаданных облачного экземпляра. |
---|