T1578.004: Отмена изменений облачного экземпляра
Злоумышленник может отменить изменения, внесенные в облачный экземпляр, после совершения вредоносных действий, чтобы избежать обнаружения и скрыть следы своего присутствия. В средах с высокой степенью виртуализации, например в облачной инфраструктуре, это может подразумевать восстановление снапшотов виртуальной машины (ВМ) или хранилища данных через панель управления облаком или облачные API.
В другой реализации этой техники используется временное хранилище, прикрепленное к вычислительному экземпляру. Большинство поставщиков облачных сервисов предлагают хранилища разных типов, в том числе постоянные, локальные и эфемерные. Содержимое эфемерных хранилищ часто сбрасывается при остановке или перезапуске ВМ.
Способы обнаружения
ID | DS0030 | Источник и компонент данных | Экземпляр: Метаданные экземпляра | Описание | Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Остановка экземпляра | Описание | Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с деактивацией экземпляров, происходящие вне рамок плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Запуск экземпляра | Описание | Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с активацией экземпляров, происходящие вне рамок обычных рабочих или плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Изменения в экземпляре | Описание | Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные со снапшотами и откатами, а также изменениями конфигурации ВМ, происходящие вне рамок обычных рабочих процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|