T1619: Изучение объектов облачного хранилища
Злоумышленники могут получать информацию об объектах инфраструктуры облачного хранилища. Злоумышленники могут использовать информацию, полученную при автоматическом обнаружении, для планирования дальнейших действий, таких как запрос на получение всех или отдельных объектов из облачного хранилища. Как и при изучении файлов и каталогов на локальном узле, после определения доступных служб хранилища (см. технику Изучение облачной инфраструктуры) злоумышленники могут получить доступ к объектам или другому содержимому, хранимому в облачной инфраструктуре.
Поставщики облачных сервисов предоставляют функции API для перечисления объектов в облачном хранилище. Например, ListObjectsV2 в AWS и List Blobs в Azure.
Способы обнаружения
ID | DS0010 | Источник и компонент данных | Облачное хранилище: Обращение к облачному хранилищу | Описание | Отслеживайте нетипичные запросы к облачным службам хранения данных. Активность неожиданного происхождения может указывать на неправильные разрешения в системе, позволяющие доступ к данным. Подозрительными также считаются случаи, когда после нескольких неудачных попыток доступа пользователь сразу же получает привилегированные права доступа к тому же объекту. |
---|
ID | DS0010 | Источник и компонент данных | Облачное хранилище: Перечисление компонентов облачного хранилища | Описание | Отслеживайте в облачных журналах нетипичные вызовы API, используемые для перечисления файлов или объектов. Для ознакомления с особенностями среды злоумышленники обычно используют техники изучения системы и сети. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности в зависимости от собранной информации, например, сбору и эксфильтрации данных. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Предоставляйте разрешения, связанные с листингом объектов в облачном хранилище, только тем учетным записям, которым они необходимы. |
---|