MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1578.005: Изменение конфигурации облачных вычислительных ресурсов

Злоумышленники могут изменять настройки, определяющие размер, расположение и доступные ресурсы облачной инфраструктуры, чтобы обойти защиту. Это могут быть квоты на службы, связи подписок, политики на уровне тенанта или другие настройки, влияющие на доступные вычислительные ресурсы. Такие модификации могут позволить злоумышленникам использовать вычислительные ресурсы жертвы в своих целях, не затрагивая работающие экземпляры и (или) не раскрывая своего присутствия.

Например, поставщики облачных сервисов часто ограничивают доступные клиентам вычислительные ресурсы с помощью квот. Клиенты могут запросить корректировку квот, чтобы удовлетворить возросшие вычислительные потребности, но такие изменения могут требовать одобрения поставщика облачных сервисов. Злоумышленники, скомпрометировавшие облачную среду, могут аналогичным образом запросить увеличение квот для ведения своих операций, например если им требуется больше ресурсов для несанкционированного использования и они не хотят привлечь к себе дополнительное внимание, превысив лимит ресурсов жертвы. Злоумышленники также могут увеличить доступные ресурсы, изменив политики на уровне тенанта, которые ограничивают размеры развернутых виртуальных машин.

Злоумышленники могут также изменять настройки, чтобы управлять местом развертывания облачных ресурсов, например активировать облачные инфраструктуры в редко используемых регионах. В средах Azure злоумышленник, получивший доступ к учетной записи глобального администратора, может создавать новые подписки для развертывания ресурсов или перехватывать существующие подписки, передавая их от тенанта жертвы своему тенанту. Это позволит злоумышленнику использовать вычислительные ресурсы жертвы, не оставляя следов в журналах тенанта жертвы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-820: Yandex_Cloud_Virtual_Machine_Existing_Address_Assign: Виртуальной машине назначен существующий IP-адрес
yandex_cloud: PT-CR-822: Yandex_Cloud_Virtual_Machine_Multiple_Addresses_Assign: Виртуальной машине назначено несколько IP-адресов
yandex_cloud: PT-CR-823: Yandex_Cloud_Virtual_Machine_Public_Address_Assign: Виртуальной машине назначен внешний IP-адрес
yandex_cloud: PT-CR-824: Yandex_Cloud_Virtual_Machine_Serial_Port_Enable: Предоставлен доступ к серийной консоли виртуальной машины

Способы обнаружения

IDDS0025Источник и компонент данныхОблачная служба: Изменения в облачной службеОписание

Monitor for quota increases across all regions, especially multiple quota increases in a short period of time or quota increases in unused regions. Monitor for changes to tenant-level settings such as subscriptions and enabled regions.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Limit permissions to request quotas adjustments or modify tenant-level compute setting to only those required.

IDM1047НазваниеАудитОписание

Routinely monitor user permissions to ensure only the expected users have the capability to request quota adjustments or modify tenant-level compute settings.