T1578.005: Изменение конфигурации облачных вычислительных ресурсов
Злоумышленники могут изменять настройки, определяющие размер, расположение и доступные ресурсы облачной инфраструктуры, чтобы обойти защиту. Это могут быть квоты на службы, связи подписок, политики на уровне тенанта или другие настройки, влияющие на доступные вычислительные ресурсы. Такие модификации могут позволить злоумышленникам использовать вычислительные ресурсы жертвы в своих целях, не затрагивая работающие экземпляры и (или) не раскрывая своего присутствия.
Например, поставщики облачных сервисов часто ограничивают доступные клиентам вычислительные ресурсы с помощью квот. Клиенты могут запросить корректировку квот, чтобы удовлетворить возросшие вычислительные потребности, но такие изменения могут требовать одобрения поставщика облачных сервисов. Злоумышленники, скомпрометировавшие облачную среду, могут аналогичным образом запросить увеличение квот для ведения своих операций, например если им требуется больше ресурсов для несанкционированного использования и они не хотят привлечь к себе дополнительное внимание, превысив лимит ресурсов жертвы. Злоумышленники также могут увеличить доступные ресурсы, изменив политики на уровне тенанта, которые ограничивают размеры развернутых виртуальных машин.
Злоумышленники могут также изменять настройки, чтобы управлять местом развертывания облачных ресурсов, например активировать облачные инфраструктуры в редко используемых регионах. В средах Azure злоумышленник, получивший доступ к учетной записи глобального администратора, может создавать новые подписки для развертывания ресурсов или перехватывать существующие подписки, передавая их от тенанта жертвы своему тенанту. Это позволит злоумышленнику использовать вычислительные ресурсы жертвы, не оставляя следов в журналах тенанта жертвы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
yandex_cloud: PT-CR-822: Yandex_Cloud_Virtual_Machine_Multiple_Addresses_Assign: Виртуальной машине назначено несколько IP-адресов yandex_cloud: PT-CR-824: Yandex_Cloud_Virtual_Machine_Serial_Port_Enable: Предоставлен доступ к серийной консоли виртуальной машины yandex_cloud: PT-CR-820: Yandex_Cloud_Virtual_Machine_Existing_Address_Assign: Виртуальной машине назначен существующий IP-адрес yandex_cloud: PT-CR-823: Yandex_Cloud_Virtual_Machine_Public_Address_Assign: Виртуальной машине назначен внешний IP-адрес
Способы обнаружения
| ID | DS0025 | Источник и компонент данных | Облачная служба: Изменения в облачной службе | Описание | Отслеживайте увеличение квот во всех регионах, особенно в тех случаях, когда квота увеличивается несколько раз за короткий период или увеличивается в неиспользуемых регионах. Отслеживайте изменения в настройках на уровне тенанта, связанных с подписками и включенными регионами. |
|---|
Меры противодействия
| ID | M1018 | Название | Управление учетными записями | Описание | Предоставьте права на запрос корректировки квот или изменение вычислительных настроек на уровне тенанта только тем пользователям, которым это необходимо. |
|---|
| ID | M1047 | Название | Аудит | Описание | Регулярно проверяйте права пользователей, чтобы убедиться, что возможность запрашивать корректировки квот или изменять настройки вычислений на уровне тенанта имеют только те пользователи, которым это требуется. |
|---|