Техники: T1136 , T1136.001 , T1136.002 , T1136.003
Злоумышленники могут создать "облачную" учетную запись для сохранения доступа к системам жертвы.При достаточном уровне доступа такие учетные записи могут использоваться для создания вторичного авторизованного доступа, не требующего развертывания в системе постоянных средств удаленного доступа.(Цитата: Microsoft O365 Admin Roles)(Цитата: Microsoft Support O365 Add Another Admin, October 2019)(Цитата: AWS Create IAM User)(Цитата: GCP Create Cloud Identity Users)(Цитата: Microsoft Azure AD Users)
Помимо учетных записей пользователей, облачные учетные записи могут быть связаны с сервисами. Поставщики облачных услуг по-разному используют концепцию учетных записей служб. В Azure учетные записи служб включают принципы служб и управляемые идентификаторы, которые могут быть связаны с различными ресурсами, такими как OAuth-приложения, бессерверные функции и виртуальные машины, чтобы предоставить этим ресурсам разрешения на выполнение различных действий в среде.(Цитата: Microsoft Entra ID Service Principals) В GCP учетные записи служб также могут быть связаны с определенными ресурсами, а также выдаваться за другие учетные записи для Temporary Elevated Cloud Access.(Цитата: GCP Service Accounts) Хотя в AWS нет специального понятия учетных записей служб, ресурсам можно напрямую предоставлять разрешение на принятие ролей.(Цитата: AWS Instance Profiles)(Цитата: AWS Lambda Execution Role)
Злоумышленники могут создавать учетные записи, имеющие доступ только к определенным облачным службам, что может снизить вероятность обнаружения.
Создав облачную учетную запись, злоумышленники могут манипулировать ею, чтобы обеспечить постоянство и предоставить доступ к дополнительным ресурсам - например, добавив Additional Cloud Credentials или назначив Additional Cloud Roles.
https://attack.mitre.org/techniques/T1136/003
Визуализация смежных техник для T1136.003
| № | Техника |
|---|
