Техника на mitre.org

T1578.001: Создание снапшота

Злоумышленник может создать снапшот или резервную копию данных в облачной учетной записи, чтобы обойти защиту. Снапшот — это копия компонента облачной среды, такого как виртуальная машина (ВМ), виртуальный жесткий диск или том, по состоянию на определенный момент времени. Злоумышленник может воспользоваться добытыми разрешениями, чтобы создать снапшот и обойти ограничения на доступ к существующей вычислительной инфраструктуре. Этот подход отличается от техники Отмена изменений облачного экземпляра, при которой злоумышленник может восстановить экземпляр из снапшота, чтобы избежать обнаружения и удалить доказательства своего присутствия.

Злоумышленник может создать облачный экземпляр, смонтировать в нем один или несколько заготовленных снапшотов, а затем применить политику, которая предоставит доступ к экземпляру, например политику межсетевого экрана, разрешающую входящий и исходящий доступ по SSH.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

proxmox: PT-CR-2739: ProxMox_VE_Critical_Snapshot_Backup_Event: Пользователь создал или удалил снимок или резервную копию критически важной виртуальной машины или контейнера в системе виртуализации Proxmox. Злоумышленники создают снимки и резервные копии важных виртуальных машин, чтобы затем выгрузить их, проанализировать и извлечь ценные данные. Злоумышленники также могут удалять снимки и резервные копии важных виртуальных машин и контейнеров, чтобы сотрудники службы безопасности не могли отменить внесенные ими изменения zvirt: PT-CR-2821: ZVirt_Critical_VM_Backup_Snapshot: Пользователь создал или удалил снимок, или создал резервную копию критически важной виртуальной машины в системе виртуализации zVirt. Злоумышленники могут выполнять действия со снимками и резервными копиями важных виртуальных машин, чтобы затем выгрузить их, проанализировать и извлечь ценные данные или внести изменения и сделать так, чтобы отмена внесенных изменений стала невозможной vk_cloud: PT-CR-2307: VK_Cloud_Critical_Objects_Clone: Клонирование, создание мгновенных снимков (snapshot) и резервных копий дисков важных виртуальных машин в облачном сервисе VK Cloud. Копирование важных объектов позволяет злоумышленникам получать доступ к хранящимся на них данным, создавать свои виртуальные машины за пределами видимости систем безопасности и скрывать следы своих действий. Полученные данные злоумышленники могут использовать для дальнейшего развития атаки vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud. Злоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки

Способы обнаружения

ID	DS0020	Источник и компонент данных	Снапшот: Создание снапшота	Описание	Создание снапшота — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, включая создание одного или нескольких снапшотов и восстановление данных из них новой учетной записью. В AWS создание снапшотов и все вызовы API службы AWS Backup отмечаются как события в журналах CloudTrail. Информация, собранная с помощью CloudTrail, позволяет обнаружить такой запрос, определить IP-адрес, откуда он поступил, имя пользователя, время запроса и другие детали. В Azure создание снапшота будет фиксироваться в журналах активности Azure. События восстановления данных из резервной копии также можно отслеживать в журналах Azure Monitor, настроив уведомления о завершении заданий восстановления. Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания нового диска виртуальной машины из снапшота. Также можно обнаружить использование API в GCP, если параметр `sourceSnapshot` указывает на `global/snapshots/[ИМЯ_ЗАГРУЗОЧНОГО_СНАПШОТА]`.

ID	DS0020	Источник и компонент данных	Снапшот: Метаданные снапшота	Описание	Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

ID	Источник и компонент данных	Описание
DS0020	Снапшот: Создание снапшота	Создание снапшота — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, включая создание одного или нескольких снапшотов и восстановление данных из них новой учетной записью. В AWS создание снапшотов и все вызовы API службы AWS Backup отмечаются как события в журналах CloudTrail. Информация, собранная с помощью CloudTrail, позволяет обнаружить такой запрос, определить IP-адрес, откуда он поступил, имя пользователя, время запроса и другие детали. В Azure создание снапшота будет фиксироваться в журналах активности Azure. События восстановления данных из резервной копии также можно отслеживать в журналах Azure Monitor, настроив уведомления о завершении заданий восстановления. Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания нового диска виртуальной машины из снапшота. Также можно обнаружить использование API в GCP, если параметр `sourceSnapshot` указывает на `global/snapshots/[ИМЯ_ЗАГРУЗОЧНОГО_СНАПШОТА]`.
DS0020	Снапшот: Метаданные снапшота	Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

Меры противодействия

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте разрешения пользователей, чтобы убедиться, что возможность создавать снапшоты и резервные копии имеют только те пользователи, которым это требуется.

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте права на создание снапшотов или резервных копий по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.

ID	Название	Описание
M1047	Аудит	Регулярно проверяйте разрешения пользователей, чтобы убедиться, что возможность создавать снапшоты и резервные копии имеют только те пользователи, которым это требуется.
M1018	Управление учетными записями	Ограничьте права на создание снапшотов или резервных копий по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.