T1580: Изучение облачной инфраструктуры
Злоумышленники могут попытаться получить данные об инфраструктуре и ресурсах, доступных в среде IaaS (infrastructure as a service), включая такие ресурсы вычислительных сервисов, как экземпляры, виртуальные машины и снапшоты, а также ресурсы других сервисов, таких как сервисы хранения и базы данных.
Поставщики облачных сервисов предлагают различные методы получения информации об инфраструктуре, в том числе API и команды интерпретатора командной строки. Например, AWS предлагает в API Amazon EC2 следующие операции: DescribeInstances, которая может возвращать информацию об одном или нескольких экземплярах в учетной записи; ListBuckets, которая возвращает список всех хранилищ, принадлежащих аутентифицированному отправителю запроса; HeadBucket, позволяющую определить существование хранилища и права доступа отправителя запроса; а также GetPublicAccessBlock для получения конфигурации блока доступа для хранилища. Аналогичным образом, интерфейс командной строки Cloud SDK платформы GCP предоставляет команду gcloud compute instances list для вывода списка всех экземпляров Google Compute Engine в проекте, а команда az vm list в командной строке Azure выводит подробную информацию о виртуальных машинах. В дополнение к командам API злоумышленники могут применять инструменты с открытым исходным кодом для изучения инфраструктуры облачного хранилища посредством сканирования по списку слов.
Злоумышленник может использовать ключи доступа скомпрометированного пользователя, чтобы получить информацию о доступных ему ресурсах. Определение доступных ресурсов может помочь злоумышленнику определить свои следующие шаги в облачной среде, например перейти к закреплению. Злоумышленник также может воспользоваться этой информацией, чтобы изменить конфигурацию и сделать хранилище общедоступным, что откроет доступ к данным без аутентификации. Злоумышленники могут применить функции API для изучения инфраструктуры (например, DescribeDBInstances), чтобы определить размер, владельца, разрешения и сетевые списки контроля доступа (ACL) ресурсов базы данных . С этой информацией злоумышленники смогут определить потенциальную ценность баз данных и требования для доступа к ним. В отличие от техники Изучение облачных служб, этот метод сосредоточен на изучении компонентов предоставляемых служб, а не самих служб.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий запуска процессов, в командной строке которых есть команды AWS — «describe-instances», «list-buckets» и «describe-db-instances» — либо веб-запросы к URL с фрагментом «/?Action=DescribeInstances» или «/?Action=DescribeDBInstances» (AWS). — Мониторинг событий запуска процессов, в командной строке которых есть команда «gcloud compute instances» (GCP). — Мониторинг событий запуска процессов, в командной строке которых есть команда «az vm list» (Azure)
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0010 | Источник и компонент данных | Облачное хранилище: Получение списков компонентов облачного хранилища | Описание | Отслеживайте в облачных журналах вызовы API и другие подозрительные действия, связанные с получением списков объектов данных в облачном хранилище. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации, например сбор и эксфильтрация данных. |
|---|
| ID | DS0020 | Источник и компонент данных | Снапшот: Получение списка снапшотов | Описание | Отслеживайте в облачных журналах вызовы API и другие нетипичные действия, связанные с получением списков снапшотов. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации, например сбор и эксфильтрация данных. |
|---|
| ID | DS0030 | Источник и компонент данных | Экземпляр: Получение списка облачных экземпляров | Описание | Отслеживайте в облачных журналах вызовы API и другие нетипичные действия, связанные с получением списка облачных экземпляров. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации, например сбор и эксфильтрация данных. |
|---|
| ID | DS0034 | Источник и компонент данных | Том: Получение списка томов | Описание | Отслеживайте в облачных журналах вызовы API и другие подозрительные действия, связанные с получением списка хранилищ блочных объектов. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации, например сбор и эксфильтрация данных. |
|---|
Меры противодействия
| ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права на обнаружение облачной инфраструктуры по принципу минимальных привилегий. Организациям следует ограничить количество пользователей внутри организации, обладающих ролью IAM с административными привилегиями, а также стремиться реже наделять пользователей постоянной привилегированной ролью и проводить периодические проверки привилегий пользователей, ролей и политик IAM. |
|---|