T1578.001: Создание снапшота

Злоумышленник может создать снапшот или резервную копию данных в облачной учетной записи, чтобы обойти защиту. Снапшот — это копия компонента облачной среды, такого как виртуальная машина (ВМ), виртуальный жесткий диск или том, по состоянию на определенный момент времени. Злоумышленник может воспользоваться добытыми разрешениями, чтобы создать снапшот и обойти ограничения на доступ к существующей вычислительной инфраструктуре. Этот подход отличается от техники Отмена изменений облачного экземпляра, при которой злоумышленник может восстановить экземпляр из снапшота, чтобы избежать обнаружения и удалить доказательства своего присутствия.

Злоумышленник может создать облачный экземпляр, смонтировать в нем один или несколько заготовленных снапшотов, а затем применить политику, которая предоставит доступ к экземпляру, например политику межсетевого экрана, разрешающую входящий и исходящий доступ по SSH.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2307: VK_Cloud_Critical_Objects_Clone: Клонирование, создание мгновенных снимков (snapshot) и резервных копий дисков важных виртуальных машин в облачном сервисе VK Cloud. Копирование важных объектов позволяет злоумышленникам получать доступ к хранящимся на них данным, создавать свои виртуальные машины за пределами видимости систем безопасности и скрывать следы своих действий. Полученные данные злоумышленники могут использовать для дальнейшего развития атаки vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud. Злоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки

Способы обнаружения

ID	DS0020	Источник и компонент данных	Снапшот: Создание снапшота	Описание	Создание снапшота — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, включая создание одного или нескольких снапшотов и восстановление данных из них новой учетной записью. В AWS создание снапшотов и все вызовы API службы AWS Backup отмечаются как события в журналах CloudTrail. Информация, собранная с помощью CloudTrail, позволяет обнаружить такой запрос, определить IP-адрес, откуда он поступил, имя пользователя, время запроса и другие детали. В Azure создание снапшота будет фиксироваться в журналах активности Azure. События восстановления данных из резервной копии также можно отслеживать в журналах Azure Monitor, настроив уведомления о завершении заданий восстановления. Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания нового диска виртуальной машины из снапшота. Также можно обнаружить использование API в GCP, если параметр `sourceSnapshot` указывает на `global/snapshots/[ИМЯ_ЗАГРУЗОЧНОГО_СНАПШОТА]`.

ID	DS0020	Источник и компонент данных	Снапшот: Метаданные снапшота	Описание	Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

ID	Источник и компонент данных	Описание
DS0020	Снапшот: Создание снапшота	Создание снапшота — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, включая создание одного или нескольких снапшотов и восстановление данных из них новой учетной записью. В AWS создание снапшотов и все вызовы API службы AWS Backup отмечаются как события в журналах CloudTrail. Информация, собранная с помощью CloudTrail, позволяет обнаружить такой запрос, определить IP-адрес, откуда он поступил, имя пользователя, время запроса и другие детали. В Azure создание снапшота будет фиксироваться в журналах активности Azure. События восстановления данных из резервной копии также можно отслеживать в журналах Azure Monitor, настроив уведомления о завершении заданий восстановления. Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания нового диска виртуальной машины из снапшота. Также можно обнаружить использование API в GCP, если параметр `sourceSnapshot` указывает на `global/snapshots/[ИМЯ_ЗАГРУЗОЧНОГО_СНАПШОТА]`.
DS0020	Снапшот: Метаданные снапшота	Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

Меры противодействия

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте разрешения пользователей, чтобы убедиться, что возможность создавать снапшоты и резервные копии имеют только те пользователи, которым это требуется.

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте права на создание снапшотов или резервных копий по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.

ID	Название	Описание
M1047	Аудит	Регулярно проверяйте разрешения пользователей, чтобы убедиться, что возможность создавать снапшоты и резервные копии имеют только те пользователи, которым это требуется.
M1018	Управление учетными записями	Ограничьте права на создание снапшотов или резервных копий по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.