T1578.004: Отмена изменений облачного экземпляра

Злоумышленник может отменить изменения, внесенные в облачный экземпляр, после совершения вредоносных действий, чтобы избежать обнаружения и скрыть следы своего присутствия. В средах с высокой степенью виртуализации, например в облачной инфраструктуре, это может подразумевать восстановление снапшотов виртуальной машины (ВМ) или хранилища данных через панель управления облаком или облачные API.

В другой реализации этой техники используется временное хранилище, прикрепленное к вычислительному экземпляру. Большинство поставщиков облачных сервисов предлагают хранилища разных типов, в том числе постоянные, локальные и эфемерные. Содержимое эфемерных хранилищ часто сбрасывается при остановке или перезапуске ВМ.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

proxmox: PT-CR-2735: ProxMox_VE_Critical_VM_Container_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной или контейнером в системе виртуализации Proxmox. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети microsoft_hyperv: PT-CR-2869: HyperV_Critical_VMs_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной в Hyper-V. Это может быть попыткой злоумышленника нарушить целостность и доступность системы

Способы обнаружения

IDDS0030Источник и компонент данныхЭкземпляр: Метаданные экземпляраОписание

Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

IDDS0030Источник и компонент данныхЭкземпляр: Остановка экземпляраОписание

Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с деактивацией экземпляров, происходящие вне рамок плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0030Источник и компонент данныхЭкземпляр: Изменения в экземпляреОписание

Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные со снапшотами и откатами, а также изменениями конфигурации ВМ, происходящие вне рамок обычных рабочих процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.

IDDS0030Источник и компонент данныхЭкземпляр: Запуск экземпляраОписание

Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с активацией экземпляров, происходящие вне рамок обычных рабочих или плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников.