T1578.003: Удаление облачного экземпляра

Злоумышленник может удалить облачный экземпляр после совершения вредоносных действий, чтобы избежать обнаружения и скрыть следы своего присутствия. Удаление экземпляра или виртуальной машины может уничтожить ценные аналитические данные и другие доказательства подозрительного поведения, если экземпляр не подлежит восстановлению.

Злоумышленник также может создать облачный экземпляр, а затем уничтожить его после достижения своих целей.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud. Злоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. Злоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки

Способы обнаружения

ID	DS0030	Источник и компонент данных	Экземпляр: Метаданные экземпляра	Описание	Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

ID	DS0030	Источник и компонент данных	Экземпляр: Удаление экземпляра	Описание	Удаление нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, обнаружение такой последовательности событий, как создание экземпляра, монтирование снапшота к этому экземпляру и удаление этого экземпляра от имени новой учетной записи пользователя, может указывать на подозрительную активность. В AWS журналы CloudTrail фиксируют удаление экземпляра в событии TerminateInstances, а в Azure удаление ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для удаления ВМ.

ID	Источник и компонент данных	Описание
DS0030	Экземпляр: Метаданные экземпляра	Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.
DS0030	Экземпляр: Удаление экземпляра	Удаление нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, обнаружение такой последовательности событий, как создание экземпляра, монтирование снапшота к этому экземпляру и удаление этого экземпляра от имени новой учетной записи пользователя, может указывать на подозрительную активность. В AWS журналы CloudTrail фиксируют удаление экземпляра в событии TerminateInstances, а в Azure удаление ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для удаления ВМ.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте права на удаление новых инстансов по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте права пользователей, чтобы убедиться, что возможность удалять новые экземпляры имеют только те пользователи, которым это требуется.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте права на удаление новых инстансов по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM.
M1047	Аудит	Регулярно проверяйте права пользователей, чтобы убедиться, что возможность удалять новые экземпляры имеют только те пользователи, которым это требуется.