Техники: T1526
Получив доступ, злоумышленник может попытаться перечислить облачные сервисы, работающие в системе. Эти методы могут варьироваться от платформы как услуги (PaaS), инфраструктуры как услуги (IaaS) или программного обеспечения как услуги (SaaS). Многие сервисы существуют у различных облачных провайдеров и могут включать в себя непрерывную интеграцию и непрерывную доставку (CI/CD), Lambda-функции, Entra ID и т. д. Они также могут включать службы безопасности, такие как AWS GuardDuty и Microsoft Defender for Cloud, и службы протоколирования, такие как AWS CloudTrail и Google Cloud Audit Logs.
Злоумышленники могут попытаться получить информацию о службах, включенных в среду. Инструменты и API-интерфейсы Azure, такие как Microsoft Graph API и Azure Resource Manager API, могут перечислять ресурсы и службы, включая приложения, группы управления, ресурсы и определения политик, а также их взаимосвязи, доступные идентификатору.(Цитата: Azure - Resource Manager API)(Цитата: Azure AD Graph API)
Например, Stormspotter - это инструмент с открытым исходным кодом для перечисления и построения графа ресурсов и служб Azure, а Pacu - это фреймворк для эксплуатации AWS с открытым исходным кодом, который поддерживает несколько методов обнаружения облачных служб.(Цитата: Azure - Stormspotter)(Цитата: GitHub Pacu)
Злоумышленники могут использовать полученную информацию для формирования последующего поведения, например для получения данных или учетных данных от перечисленных служб или обхода выявленных средств защиты с помощью Disable or Modify Tools или Disable or Modify Cloud Logs.
https://attack.mitre.org/techniques/T1526
Визуализация смежных техник для T1526
| № | Техника |
|---|
