Злоумышленники могут изменять настройки, определяющие размер, расположение и доступные ресурсы облачной инфраструктуры, чтобы обойти защиту. Это могут быть квоты на службы, связи подписок, политики на уровне тенанта или другие настройки, влияющие на доступные вычислительные ресурсы. Такие модификации могут позволить злоумышленникам использовать вычислительные ресурсы жертвы в своих целях, не затрагивая работающие экземпляры и (или) не раскрывая своего присутствия.

Например, поставщики облачных сервисов часто ограничивают доступные клиентам вычислительные ресурсы с помощью квот. Клиенты могут запросить корректировку квот, чтобы удовлетворить возросшие вычислительные потребности, но такие изменения могут требовать одобрения поставщика облачных сервисов. Злоумышленники, скомпрометировавшие облачную среду, могут аналогичным образом запросить увеличение квот для ведения своих операций, например если им требуется больше ресурсов для несанкционированного использования и они не хотят привлечь к себе дополнительное внимание, превысив лимит ресурсов жертвы. Злоумышленники также могут увеличить доступные ресурсы, изменив политики на уровне тенанта, которые ограничивают размеры развернутых виртуальных машин.

Злоумышленники могут также изменять настройки, чтобы управлять местом развертывания облачных ресурсов, например активировать облачные инфраструктуры в редко используемых регионах. В средах Azure злоумышленник, получивший доступ к учетной записи глобального администратора, может создавать новые подписки для развертывания ресурсов или перехватывать существующие подписки, передавая их от тенанта жертвы своему тенанту. Это позволит злоумышленнику использовать вычислительные ресурсы жертвы, не оставляя следов в журналах тенанта жертвы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

proxmox: PT-CR-2735: ProxMox_VE_Critical_VM_Container_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной или контейнером в системе виртуализации Proxmox. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети zvirt: PT-CR-2818: ZVirt_Critical_VM_Operation: Пользователь выполнил действие с критически важной виртуальной машиной в системе виртуализации zVirt. Такие действия позволяют злоумышленникам скрывать свою активность, нарушать доступность и работоспособность систем, удалять средства защиты, извлекать или удалять важные данные, встраивать бэкдор и перемещаться внутри периметра сети yandex_cloud: PT-CR-824: Yandex_Cloud_Virtual_Machine_Serial_Port_Enable: Предоставлен доступ к серийной консоли виртуальной машины yandex_cloud: PT-CR-820: Yandex_Cloud_Virtual_Machine_Existing_Address_Assign: Виртуальной машине назначен существующий IP-адрес yandex_cloud: PT-CR-823: Yandex_Cloud_Virtual_Machine_Public_Address_Assign: Виртуальной машине назначен внешний IP-адрес yandex_cloud: PT-CR-822: Yandex_Cloud_Virtual_Machine_Multiple_Addresses_Assign: Виртуальной машине назначено несколько IP-адресов microsoft_hyperv: PT-CR-2869: HyperV_Critical_VMs_Manipulation: Пользователь выполнил действие с критически важной виртуальной машиной в Hyper-V. Это может быть попыткой злоумышленника нарушить целостность и доступность системы

ID	Название	Описание
M1018	Управление учетными записями	Предоставьте права на запрос корректировки квот или изменение вычислительных настроек на уровне тенанта только тем пользователям, которым это необходимо.
M1047	Аудит	Регулярно проверяйте права пользователей, чтобы убедиться, что возможность запрашивать корректировки квот или изменять настройки вычислений на уровне тенанта имеют только те пользователи, которым это требуется.

T1578.005: Изменение конфигурации облачных вычислительных ресурсов

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Способы обнаружения

Меры противодействия