T1651: Средства администрирования облака

Злоумышленники могут использовать службы администрирования облака для выполнения команд на виртуальных машинах. Такие решения, как AWS Systems Manager, Azure RunCommand и Runbooks, позволяют удаленно запускать сценарии на виртуальных машинах с помощью установленных агентов .

Заполучив административный доступ к облачной среде, злоумышленники смогут использовать службы администрирования облака для выполнения команд на виртуальных машинах. В частности, злоумышленник, скомпрометировавший учетную запись поставщика услуг или делегированного администратора, может использовать доверительные отношения для выполнения команд на подключенных виртуальных машинах.

Способы обнаружения

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте выполнение команд и сценариев на виртуальных машинах. В Azure использование RunCommand регистрируется в журналах действий Azure, а дополнительные сведения о результатах выполнения задач хранятся в каталоге C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows на виртуальных машинах Windows.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание виртуальными машинами процессов, связанных с агентами облачных виртуальных машин. На машинах с Windows в Azure отслеживайте процесс WindowsAzureGuestAgent.exe.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд и сценариев на виртуальных машинах. В Azure использование RunCommand регистрируется в журналах действий Azure, а дополнительные сведения о результатах выполнения задач хранятся в каталоге C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows на виртуальных машинах Windows.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте количество облачных учетных записей с правами на удаленное выполнение команд на виртуальных машинах и проследите, чтобы они не использовались для повседневных операций. В Azure ограничьте количество учетных записей с ролями Azure Virtual Machine Contributer и выше, а также по возможности используйте временные роли Just-in-Time (JIT), чтобы избежать постоянного назначения привилегированного доступа к виртуальным машинам.