T1648: Бессерверное выполнение

Злоумышленники могут использовать бессерверные вычисления, интеграции и службы автоматизации для выполнения произвольного кода в облачных средах. Многие поставщики облачных сервисов предлагают разнообразные бессерверные ресурсы, включая вычислительные мощности, службы интеграции приложений и веб-серверы.

Злоумышленники могут использовать эти ресурсы различными способами для выполнения произвольных команд. Например, бессерверные функции могут использоваться для запуска вредоносного кода, например для майнинга криптовалют (см., например, технику Несанкционированное использование ресурсов). Злоумышленники также могут создавать функции для дальнейшей компрометации облачной среды. Например, они могут использовать разрешение IAM:PassRole в AWS или разрешение iam.serviceAccounts.actAs в Google Cloud для добавления дополнительных облачных ролей в бессерверную облачную функцию, чтобы выполнять через нее действия, изначально недоступные пользователю.

Бессерверные функции также могут вызываться в ответ на облачные события (см. технику Выполнение по событию), что может обеспечить их постоянное выполнение и закрепление в системе. Например, в средах AWS злоумышленник может создать функцию Lambda, которая автоматически добавляет пользователю дополнительные облачные учетные данные и создает связанное правило EventBridge (ранее CloudWatch Events) для автоматического вызова этой функции при создании нового пользователя. Аналогичным образом злоумышленник может создать рабочий процесс Power Automate в средах Microsoft 365, который пересылает все входящие электронные письма пользователя или создает анонимные ссылки для общего доступа каждый раз, когда пользователь получает доступ к документу в SharePoint.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг нежелательных сообщений электронной почты (Exchange), отправленных Power Automate или Power Apps с помощью соединителя Microsoft 365 Outlook. Формат заголовка SMTP использует зарезервированную фразу «Microsoft Power Automate» или «Microsoft Power Apps». Фраза вставляется с типом заголовка «x-ms-mail-application»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0025Источник и компонент данныхОблачная служба: Изменения в облачной службеОписание

Отслеживайте создание и модификацию бессерверных ресурсов, включая функции и рабочие процессы.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте признаки нетипичной активности в журналах, созданных в результате бессерверного выполнения. Например, в средах Exchange подозрительными должны считаться письма, отправленные процессом Power Automate через коннектор Outlook 365 и содержащие фразу Power App или Power Automate в SMTP-заголовке x-ms-mail-application.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Отзовите разрешения на создание, изменение и запуск бессерверных ресурсов у пользователей, не имеющих явной потребности в них.