T1651: Средства администрирования облака
Злоумышленники могут использовать службы администрирования облака для выполнения команд на виртуальных машинах. Такие решения, как AWS Systems Manager, Azure RunCommand и Runbooks, позволяют удаленно запускать сценарии на виртуальных машинах с помощью установленных агентов .
Заполучив административный доступ к облачной среде, злоумышленники смогут использовать службы администрирования облака для выполнения команд на виртуальных машинах. В частности, злоумышленник, скомпрометировавший учетную запись поставщика услуг или делегированного администратора, может использовать доверительные отношения для выполнения команд на подключенных виртуальных машинах.
Способы обнаружения
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте выполнение команд и сценариев на виртуальных машинах. В Azure использование RunCommand регистрируется в журналах действий Azure, а дополнительные сведения о результатах выполнения задач хранятся в каталоге |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание виртуальными машинами процессов, связанных с агентами облачных виртуальных машин. На машинах с Windows в Azure отслеживайте процесс WindowsAzureGuestAgent.exe. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд и сценариев на виртуальных машинах. В Azure использование RunCommand регистрируется в журналах действий Azure, а дополнительные сведения о результатах выполнения задач хранятся в каталоге |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте количество облачных учетных записей с правами на удаленное выполнение команд на виртуальных машинах и проследите, чтобы они не использовались для повседневных операций. В Azure ограничьте количество учетных записей с ролями Azure Virtual Machine Contributer и выше, а также по возможности используйте временные роли Just-in-Time (JIT), чтобы избежать постоянного назначения привилегированного доступа к виртуальным машинам. |
---|