Техника на mitre.org

T1619: Изучение объектов облачного хранилища

Злоумышленники могут получать информацию об объектах инфраструктуры облачного хранилища. Злоумышленники могут использовать информацию, полученную при автоматическом обнаружении, для планирования дальнейших действий, таких как запрос на получение всех или отдельных объектов из облачного хранилища. Как и при изучении файлов и каталогов на локальном узле, после определения доступных служб хранилища (см. технику Изучение облачной инфраструктуры) злоумышленники могут получить доступ к объектам или другому содержимому, хранимому в облачной инфраструктуре.

Поставщики облачных сервисов предоставляют функции API для перечисления объектов в облачном хранилище. Например, ListObjectsV2 в AWS и List Blobs в Azure.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Мониторинг событий запуска процессов, в командной строке которых содержится команда «aws s3api list-objects-v2» или веб-запрос к URL с фрагментом «/?list-type=2» (AWS). — Мониторинг событий запуска процессов, в командной строке которых содержится веб-запрос к URL с фрагментом «/mycontainer?restype=container&comp=list\» (Azure)

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0010	Источник и компонент данных	Облачное хранилище: Обращение к облачному хранилищу	Описание	Отслеживайте нетипичные запросы к облачным службам хранения данных. Активность неожиданного происхождения может указывать на неправильные разрешения в системе, позволяющие доступ к данным. Подозрительными также считаются случаи, когда после нескольких неудачных попыток доступа пользователь сразу же получает привилегированные права доступа к тому же объекту.

ID	DS0010	Источник и компонент данных	Облачное хранилище: Получение списков компонентов облачного хранилища	Описание	Отслеживайте в облачных журналах нетипичные вызовы API, используемые для получения списков файлов или объектов. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения системы и сети. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации, например сбор и эксфильтрация данных.

ID	Источник и компонент данных	Описание
DS0010	Облачное хранилище: Обращение к облачному хранилищу	Отслеживайте нетипичные запросы к облачным службам хранения данных. Активность неожиданного происхождения может указывать на неправильные разрешения в системе, позволяющие доступ к данным. Подозрительными также считаются случаи, когда после нескольких неудачных попыток доступа пользователь сразу же получает привилегированные права доступа к тому же объекту.
DS0010	Облачное хранилище: Получение списков компонентов облачного хранилища	Отслеживайте в облачных журналах нетипичные вызовы API, используемые для получения списков файлов или объектов. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения системы и сети. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников в зависимости от собранной ими информации, например сбор и эксфильтрация данных.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Предоставляйте разрешения, связанные с листингом объектов в облачном хранилище, только тем учетным записям, которым они необходимы.

ID	Название	Описание
M1018	Управление учетными записями	Предоставляйте разрешения, связанные с листингом объектов в облачном хранилище, только тем учетным записям, которым они необходимы.