T1648: Бессерверное выполнение
Злоумышленники могут использовать бессерверные вычисления, интеграции и службы автоматизации для выполнения произвольного кода в облачных средах. Многие поставщики облачных сервисов предлагают разнообразные бессерверные ресурсы, включая вычислительные мощности, службы интеграции приложений и веб-серверы.
Злоумышленники могут использовать эти ресурсы различными способами для выполнения произвольных команд. Например, бессерверные функции могут использоваться для запуска вредоносного кода, например для майнинга криптовалют (см., например, технику Несанкционированное использование ресурсов). Злоумышленники также могут создавать функции для дальнейшей компрометации облачной среды. Например, они могут использовать разрешение IAM:PassRole
в AWS или разрешение iam.serviceAccounts.actAs
в Google Cloud для добавления дополнительных облачных ролей в бессерверную облачную функцию, чтобы выполнять через нее действия, изначально недоступные пользователю.
Бессерверные функции также могут вызываться в ответ на облачные события (см. технику Выполнение по событию), что может обеспечить их постоянное выполнение и закрепление в системе. Например, в средах AWS злоумышленник может создать функцию Lambda, которая автоматически добавляет пользователю дополнительные облачные учетные данные и создает связанное правило EventBridge (ранее CloudWatch Events) для автоматического вызова этой функции при создании нового пользователя. Аналогичным образом злоумышленник может создать рабочий процесс Power Automate в средах Microsoft 365, который пересылает все входящие электронные письма пользователя или создает анонимные ссылки для общего доступа каждый раз, когда пользователь получает доступ к документу в SharePoint.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг нежелательных сообщений электронной почты (Exchange), отправленных Power Automate или Power Apps с помощью соединителя Microsoft 365 Outlook. Формат заголовка SMTP использует зарезервированную фразу «Microsoft Power Automate» или «Microsoft Power Apps». Фраза вставляется с типом заголовка «x-ms-mail-application»
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0025 | Источник и компонент данных | Облачная служба: Изменения в облачной службе | Описание | Отслеживайте создание и модификацию бессерверных ресурсов, включая функции и рабочие процессы. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте признаки нетипичной активности в журналах, созданных в результате бессерверного выполнения. Например, в средах Exchange подозрительными должны считаться письма, отправленные процессом Power Automate через коннектор Outlook 365 и содержащие фразу |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Отзовите разрешения на создание, изменение и запуск бессерверных ресурсов у пользователей, не имеющих явной потребности в них. |
---|