Техники: T1098 , T1098.001 , T1098.002 , T1098.003 , T1098.004 , T1098.005 , T1098.006 , T1098.007
Злоумышленник может добавить дополнительные роли или разрешения в контролируемую им учетную запись "облака", чтобы сохранить постоянный доступ к арендатору. Например, злоумышленники могут обновить политики IAM в облачных средах или добавить нового глобального администратора в среде Office 365.(Цитата: Политики и разрешения AWS IAM)(Цитата: Политики IAM в облаке Google)(Цитата: Microsoft Support O365 Add Another Admin, October 2019)(Цитата: Microsoft O365 Admin Roles) При наличии достаточных разрешений взломанная учетная запись может получить практически неограниченный доступ к данным и настройкам (включая возможность сбрасывать пароли других администраторов).(Цитата: Expel AWS Attacker)
(Цитата: Microsoft O365 Admin Roles)
Эта модификация учетной записи может следовать сразу за Create Account или другими вредоносными действиями с учетной записью. Злоумышленники также могут изменять существующие Valid Accounts, которые они скомпрометировали. Это может привести к повышению привилегий, особенно если добавленные роли позволяют перемещаться к дополнительным учетным записям.
Например, в средах AWS Злоумышленник с соответствующими полномочиями может использовать API CreatePolicyVersion для определения новой версии политики IAM или API AttachUserPolicy для прикрепления политики IAM с дополнительными или отличными полномочиями к скомпрометированной учетной записи пользователя.(Цит. по: Rhino Security Labs AWS Privilege Escalation)
В некоторых случаях злоумышленники могут добавлять роли к контролируемым ими учетным записям вне облачного арендатора жертвы.Это позволяет этим внешним учетным записям выполнять действия внутри арендатора-жертвы, не требуя от Злоумышленника Create Account или модификации принадлежащей жертве учетной записи.(Цит. по: Invictus IR DangerDev 2024)
https://attack.mitre.org/techniques/T1098/003
Визуализация смежных техник для T1098.003
| № | Техника |
|---|
