T1578.002: Создание облачного экземпляра

Злоумышленник может создать новый экземпляр или виртуальную машину (ВМ) в вычислительной службе облачной учетной записи, чтобы обойти защиту. Создание нового экземпляра может позволить злоумышленнику обойти правила и разрешения межсетевого экрана, которые применяются к уже существующим экземплярам в учетной записи. Злоумышленник может создать снапшот одного или нескольких томов в учетной записи, создать новый экземпляр, смонтировать снапшоты, а затем применить менее строгую политику безопасности с целью сбора данных из локальной системы или промежуточного хранения данных (удаленно).

Создание нового экземпляра также позволяет злоумышленнику вести вредоносную деятельность, не затрагивая уже запущенные экземпляры.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-1257: Yandex_Cloud_Kubernetes_Cluster_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки кластера yandex_cloud: PT-CR-1253: Yandex_Cloud_Cluster_Without_Security_Group_Creation: Создан кластер без использования групп безопасности yandex_cloud: PT-CR-1261: Yandex_Cloud_LoadBalancer_Without_Security_Group_Creation: Создан балансировщик приложений без использования групп безопасности yandex_cloud: PT-CR-1269: Yandex_Cloud_Virtual_Machine_Without_Security_Group_Creation: Виртуальная машина создана без использования групп безопасности yandex_cloud: PT-CR-1251: Yandex_Cloud_Cluster_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки кластера yandex_cloud: PT-CR-826: Yandex_Cloud_Virtual_Machine_With_Image_ID_From_Marketplace_Creation: Создана виртуальная машина с идентификатором образа из Marketplace yandex_cloud: PT-CR-1254: Yandex_Cloud_Gitlab_Instance_Creation: Пользователь создал экземпляр GitLab yandex_cloud: PT-CR-1260: Yandex_Cloud_Kubernetes_Nodes_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки группы узлов кластера yandex_cloud: PT-CR-1258: Yandex_Cloud_Kubernetes_Cluster_Without_Security_Group_Creation: Создан кластер без использования групп безопасности yandex_cloud: PT-CR-815: Yandex_Cloud_Cluster_Creation_By_Not_Admin: Пользователь не из списка администраторов создал кластер vsphere_suspicious_user_activity: PT-CR-513: Cloning_Critical_VM: Клонирована виртуальная машина, важная с точки зрения ИБ vsphere_suspicious_user_activity: PT-CR-516: Mass_Cloning_Critical_VM: Клонированы несколько виртуальных машин, важных с точки зрения ИБ vk_cloud: PT-CR-2290: VK_Cloud_VM_Create_Operation_By_Suspicious_User: Пользователь не из списка разрешенных создал виртуальную машину, что может свидетельствовать о попытке злоумышленника подготовить окружение для развития атаки vk_cloud: PT-CR-2306: VK_Cloud_New_VM_From_Critical_Objects: Пользователь создал виртуальную машину из копии критически важного объекта в облачном сервисе VK Cloud. Подобные действия позволяют злоумышленникам получать доступ к данным, хранящимся на важных объектах, за пределами видимости систем безопасности и скрывать следы своих действий. Кроме того, злоумышленники могут попытаться выдать свою виртуальную машину за легитимное устройство vk_cloud: PT-CR-2296: VK_Cloud_Image_From_Marketplace_Creation: Пользователь создал или использовал образ из каталога "Маркетплейс" для создания виртуальной машины, что может свидетельствовать о попытке злоумышленника использовать версию образа, содержащую уязвимости vk_cloud: PT-CR-2307: VK_Cloud_Critical_Objects_Clone: Клонирование, создание мгновенных снимков (snapshot) и резервных копий дисков важных виртуальных машин в облачном сервисе VK Cloud. Копирование важных объектов позволяет злоумышленникам получать доступ к хранящимся на них данным, создавать свои виртуальные машины за пределами видимости систем безопасности и скрывать следы своих действий. Полученные данные злоумышленники могут использовать для дальнейшего развития атаки

Способы обнаружения

ID	DS0030	Источник и компонент данных	Экземпляр: Создание экземпляра	Описание	Создание нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, создание экземпляра от имени новой учетной записи пользователя или неожиданное создание одного или нескольких снапшотов с последующим созданием экземпляра может указывать на подозрительную активность. В AWS журналы CloudTrail фиксируют создание экземпляра в событии RunInstances, а в Azure создание ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания ВМ.

ID	DS0030	Источник и компонент данных	Экземпляр: Метаданные экземпляра	Описание	Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

ID	Источник и компонент данных	Описание
DS0030	Экземпляр: Создание экземпляра	Создание нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, создание экземпляра от имени новой учетной записи пользователя или неожиданное создание одного или нескольких снапшотов с последующим созданием экземпляра может указывать на подозрительную активность. В AWS журналы CloudTrail фиксируют создание экземпляра в событии RunInstances, а в Azure создание ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания ВМ.
DS0030	Экземпляр: Метаданные экземпляра	Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте права на создание новых инстансов по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте права пользователей, чтобы убедиться, что возможность создавать новые экземпляры имеют только те пользователи, которым это требуется.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте права на создание новых инстансов по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.
M1047	Аудит	Регулярно проверяйте права пользователей, чтобы убедиться, что возможность создавать новые экземпляры имеют только те пользователи, которым это требуется.