Техники: T1098 , T1098.001 , T1098.002 , T1098.003 , T1098.004 , T1098.005 , T1098.006 , T1098.007
Злоумышленник может добавить дополнительные роли или разрешения к контролируемой злоумышленником учетной записи пользователя или службы, чтобы сохранить постоянный доступ к системе оркестровки контейнеров. Например, злоумышленник с достаточными полномочиями может создать RoleBinding или ClusterRoleBinding для привязки роли или ClusterRole к учетной записи Kubernetes.(Цитата: Kubernetes RBAC)(Цитата: Aquasec Kubernetes Attack 2023) Если используется контроль доступа на основе атрибутов (ABAC), злоумышленник с достаточными полномочиями может изменить политику Kubernetes ABAC, чтобы предоставить целевой учетной записи дополнительные полномочия.(Цит. по: Kuberentes ABAC)
Такая модификация учетной записи может следовать непосредственно за Create Account или другими вредоносными действиями с учетной записью. Злоумышленники также могут изменять существующие Valid Accounts, которые они скомпрометировали.
Обратите внимание, что при развертывании систем оркестровки контейнеров в облачных средах, как, например, в Google Kubernetes Engine, Amazon Elastic Kubernetes Service и Azure Kubernetes Service, вместо или в дополнение к локальному назначению разрешений часто могут использоваться облачные политики управления доступом на основе ролей (RBAC) или ABAC.(Цитата: Google Cloud Kubernetes IAM)(Цитата: AWS EKS IAM Roles for Service Accounts)(Цитата: Microsoft Azure Kubernetes Service Service Accounts) В этих случаях данная техника может использоваться в сочетании с Additional Cloud Roles.
https://attack.mitre.org/techniques/T1098/006
Визуализация смежных техник для T1098.006
| № | Техника |
|---|
