Техники: T1021 , T1021.001 , T1021.002 , T1021.003 , T1021.004 , T1021.005 , T1021.006 , T1021.007 , T1021.008
Злоумышленники могут входить в доступные облачные службы в скомпрометированной среде, используя Valid Accounts, которые синхронизированы с локальными идентификаторами пользователей или объединены с ними. Затем злоумышленник может выполнять действия по управлению или получать доступ к облачным ресурсам в качестве вошедшего пользователя.
Многие предприятия объединяют централизованно управляемые пользовательские идентификаторы с облачными сервисами, позволяя пользователям входить в систему с учетными данными своего домена, чтобы получить доступ к плоскости управления облаком. Аналогичным образом злоумышленники могут подключаться к доступным облачным службам через веб-консоль или интерфейс командной строки (CLI) облака (например, Cloud API), используя такие команды, как Connect-AZAccount для Azure PowerShell, Connect-MgGraph для Microsoft Graph PowerShell и gcloud auth login для Google Cloud CLI.
В некоторых случаях злоумышленники могут аутентифицироваться в этих службах с помощью Application Access Token вместо имени пользователя и пароля.
https://attack.mitre.org/techniques/T1021/007
Визуализация смежных техник для T1021.007
| № | Техника |
|---|
