T1580: Изучение облачной инфраструктуры

Злоумышленники могут попытаться получить данные об инфраструктуре и ресурсах, доступных в среде IaaS (infrastructure as a service), включая такие ресурсы вычислительных сервисов, как экземпляры, виртуальные машины и снапшоты, а также ресурсы других сервисов, таких как сервисы хранения и базы данных.

Поставщики облачных сервисов предлагают различные методы получения информации об инфраструктуре, в том числе API и команды интерпретатора командной строки. Например, AWS предлагает в API Amazon EC2 следующие операции: DescribeInstances, которая может возвращать информацию об одном или нескольких экземплярах в учетной записи; ListBuckets, которая возвращает список всех хранилищ, принадлежащих аутентифицированному отправителю запроса; HeadBucket, позволяющую определить существование хранилища и права доступа отправителя запроса; а также GetPublicAccessBlock для получения конфигурации блока доступа для хранилища. Аналогичным образом, интерфейс командной строки Cloud SDK платформы GCP предоставляет команду gcloud compute instances list для вывода списка всех экземпляров Google Compute Engine в проекте, а команда az vm list в командной строке Azure выводит подробную информацию о виртуальных машинах. В дополнение к командам API злоумышленники могут применять инструменты с открытым исходным кодом для изучения инфраструктуры облачного хранилища посредством сканирования по списку слов.

Злоумышленник может использовать ключи доступа скомпрометированного пользователя, чтобы получить информацию о доступных ему ресурсах. Определение доступных ресурсов может помочь злоумышленнику определить свои следующие шаги в облачной среде, например перейти к закреплению. Злоумышленник также может воспользоваться этой информацией, чтобы изменить конфигурацию и сделать хранилище общедоступным, что откроет доступ к данным без аутентификации. Злоумышленники могут применить функции API для изучения инфраструктуры (например, DescribeDBInstances), чтобы определить размер, владельца, разрешения и сетевые списки контроля доступа (ACL) ресурсов базы данных . С этой информацией злоумышленники смогут определить потенциальную ценность баз данных и требования для доступа к ним. В отличие от техники Изучение облачных служб, этот метод сосредоточен на изучении компонентов предоставляемых служб, а не самих служб.

Способы обнаружения

IDDS0030Источник и компонент данныхЭкземпляр: Перечисление экземпляровОписание

Отслеживайте в облачных журналах вызовы API и другие нетипичные действия, связанные с перечислением облачных экземпляров. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, сбору и эксфильтрации данных.

IDDS0010Источник и компонент данныхОблачное хранилище: Перечисление компонентов облачного хранилищаОписание

Отслеживайте в облачных журналах вызовы API и другие подозрительные действия, связанные с перечислением объектов данных в облачном хранилище. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, сбору и эксфильтрации данных.

IDDS0034Источник и компонент данныхТом: Перечисление томовОписание

Отслеживайте в облачных журналах вызовы API и другие подозрительные действия, связанные с перечислением хранилищ блочных объектов. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, сбору и эксфильтрации данных.

IDDS0020Источник и компонент данныхСнапшот: Перечисление снапшотовОписание

Отслеживайте в облачных журналах вызовы API и другие нетипичные действия, связанные с перечислением снапшотов. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, сбору и эксфильтрации данных.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права на обнаружение облачной инфраструктуры по принципу минимальных привилегий. Организациям следует ограничить количество пользователей внутри организации, обладающих ролью IAM с административными привилегиями, стремиться реже наделять пользователей постоянной привилегированной ролью и проводить периодические проверки привилегий пользователей, ролей и политик IAM.