Техники: T1098 , T1098.001 , T1098.002 , T1098.003 , T1098.004 , T1098.005 , T1098.006 , T1098.007
Злоумышленники могут добавлять контролируемые противником учетные данные в облачную учетную запись, чтобы сохранить постоянный доступ к учетным записям и экземплярам жертвы в среде.
Например, злоумышленники могут добавлять учетные данные для Service Principals и Applications в дополнение к существующим законным учетным данным в Azure / Entra ID.(Цитата: Microsoft SolarWinds Customer Guidance)(Цитата: Blue Cloud of Death)(Цитата: Blue Cloud of Death Video) Эти учетные данные включают как ключи x509, так и пароли. (Цитата: Microsoft SolarWinds Customer Guidance) При наличии достаточных разрешений существует множество способов добавления учетных данных, включая портал Azure Portal, интерфейс командной строки Azure и модули Azure или Az PowerShell.(Цитата: Demystifying Azure AD Service Principals)
В средах инфраструктуры как услуги (IaaS) после получения доступа через Cloud Accounts злоумышленники могут генерировать или импортировать собственные SSH-ключи, используя API CreateKeyPair или ImportKeyPair в AWS или команду gcloud compute os-login ssh-keys add в GCP. (Цитата: GCP SSH Key Add) Это позволяет получить постоянный доступ к инстансам в облачной среде без дальнейшего использования скомпрометированных облачных аккаунтов.(Цитата: Expel IO Evil in AWS)(Цитата: Expel Behind the Scenes)
Злоумышленники также могут использовать API CreateAccessKey в AWS или команду gcloud iam service-accounts keys create в GCP для добавления ключей доступа к учетной записи. В качестве альтернативы они могут использовать API CreateLoginProfile в AWS для добавления пароля, который можно использовать для входа в консоль управления AWS для Cloud Service Dashboard.(Цитата: Permiso Scattered Spider 2023)(Цитата: Lacework AI Resource Hijacking 2024) Если целевая учетная запись имеет иные разрешения, чем запрашивающая, противник может также иметь возможность повысить свои привилегии в среде (т. е. Cloud Accounts. Например, в среде Entra ID противник с ролью администратора приложений может добавить новый набор учетных данных к основному сервису своего приложения. При этом противник сможет получить доступ к ролям и разрешениям принципала службы, которые могут отличаться от ролей и разрешений администратора приложения.(цит. по: SpecterOps Azure Privilege Escalation)
В средах AWS злоумышленники с соответствующими полномочиями могут также использовать вызов API `sts:GetFederationToken` для создания временного набора учетных данных для Forge Web Credentials, привязанного к полномочиям исходной учетной записи пользователя. Эти временные учетные данные могут оставаться действительными в течение всего срока их действия, даже если учетные данные API исходной учетной записи деактивированы.
(Цит. по: Crowdstrike AWS User Federation Persistence)
В средах Entra ID с включенной функцией паролей приложений злоумышленники могут добавить пароль приложения к учетной записи пользователя.(Цитата: Mandiant APT42 Operations 2024) Поскольку пароли приложений предназначены для использования с устаревшими устройствами, не поддерживающими многофакторную аутентификацию (MFA), добавление пароля приложения может позволить злоумышленникам обойти требования MFA. Кроме того, пароли приложений могут оставаться в силе даже при сбросе основного пароля пользователя.(Цит. по: Microsoft Entra ID App Passwords)
https://attack.mitre.org/techniques/T1098/001
Визуализация смежных техник для T1098.001
| № | Техника |
|---|
