T1578.001: Создание снапшота
Злоумышленник может создать снапшот или резервную копию данных в облачной учетной записи, чтобы обойти защиту. Снапшот — это копия компонента облачной среды, такого как виртуальная машина (ВМ), виртуальный жесткий диск или том, по состоянию на определенный момент времени. Злоумышленник может воспользоваться добытыми разрешениями, чтобы создать снапшот и обойти ограничения на доступ к существующей вычислительной инфраструктуре. Этот подход отличается от техники Отмена изменений облачного экземпляра, при которой злоумышленник может восстановить экземпляр из снапшота, чтобы избежать обнаружения и удалить доказательства своего присутствия.
Злоумышленник может создать облачный экземпляр, смонтировать в нем один или несколько заготовленных снапшотов, а затем применить политику, которая предоставит доступ к экземпляру, например политику межсетевого экрана, разрешающую входящий и исходящий доступ по SSH.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud.\nЗлоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки
vk_cloud: PT-CR-2307: VK_Cloud_Critical_Objects_Clone: Клонирование, создание мгновенных снимков (snapshot) и резервных копий дисков важных виртуальных машин в облачном сервисе VK Cloud.\nКопирование важных объектов позволяет злоумышленникам получать доступ к хранящимся на них данным, создавать свои виртуальные машины за пределами видимости систем безопасности и скрывать следы своих действий. Полученные данные злоумышленники могут использовать для дальнейшего развития атаки
Способы обнаружения
ID | DS0020 | Источник и компонент данных | Снапшот: Метаданные снапшота | Описание | Periodically baseline snapshots to identify malicious modifications or additions. |
---|
ID | DS0020 | Источник и компонент данных | Снапшот: Создание снапшота | Описание | The creation of a snapshot is a common part of operations within many cloud environments. Events should then not be viewed in isolation, but as part of a chain of behavior that could lead to other activities such as the creation of one or more snapshots and the restoration of these snapshots by a new user account.
In AWS, CloudTrail logs capture the creation of snapshots and all API calls for AWS Backup as events. Using the information collected by CloudTrail, you can determine the request that was made, the IP address from which the request was made, which user made the request, when it was made, and additional details.
In Azure, the creation of a snapshot may be captured in Azure activity logs. Backup restoration events can also be detected through Azure Monitor Log Data by creating a custom alert for completed restore jobs.
Google's Admin Activity audit logs within their Cloud Audit logs can be used to detect the usage of the gcloud compute instances create command to create a new VM disk from a snapshot. It is also possible to detect the usage of the GCP API with the |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Routinely check user permissions to ensure only the expected users have the capability to create snapshots and backups. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Limit permissions for creating snapshots or backups in accordance with least privilege. Organizations should limit the number of users within the organization with an IAM role that has administrative privileges, strive to reduce all permanent privileged role assignments, and conduct periodic entitlement reviews on IAM users, roles and policies. |
---|