Техники: T1552 , T1552.001 , T1552.002 , T1552.003 , T1552.004 , T1552.005 , T1552.006 , T1552.007 , T1552.008
Злоумышленники могут попытаться получить доступ к Cloud Instance Metadata API для сбора учетных данных и других конфиденциальных сведений.
Большинство поставщиков облачных услуг поддерживают Cloud Instance Metadata API, который представляет собой сервис, предоставляемый запущенным виртуальным экземплярам и позволяющий приложениям получать доступ к информации о запущенном виртуальном экземпляре. Доступная информация обычно включает имя, группу безопасности и дополнительные метаданные, в том числе конфиденциальные данные, такие как учетные данные и сценарии UserData, которые могут содержать дополнительные секреты.Instance Metadata API предоставляется для удобства управления приложениями и доступен всем, кто может получить доступ к экземпляру.(Цитата: AWS Instance Metadata API) Облачный метаданный API был использован как минимум в одной громкой компрометации.(Цитата: Krebs Capital One August 2019)
Если Злоумышленники присутствуют на работающем виртуальном экземпляре, они могут напрямую запросить Instance Metadata API, чтобы определить учетные данные, предоставляющие доступ к дополнительным ресурсам.Кроме того, Злоумышленники могут использовать уязвимость Server-Side Request Forgery (SSRF) в публичном веб-прокси, которая позволяет им получить доступ к конфиденциальной информации через запрос к Instance Metadata API.(Цитата: RedLock Instance Metadata API 2018)
Стандартом де-факто для поставщиков облачных услуг является размещение Instance Metadata API по адресу http[:]//169.254.169.254.
https://attack.mitre.org/techniques/T1552/005
Визуализация смежных техник для T1552.005
| № | Техника |
|---|
