Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленники могут отключить или модифицировать брандмауэр в облачной среде, чтобы обойти средства контроля, ограничивающие доступ к облачным ресурсам. Облачные брандмауэры отделены от системных брандмауэров, описанных в разделе Disable or Modify System Firewall.
В облачных средах обычно используются ограничительные группы безопасности и правила брандмауэра, которые разрешают сетевую активность только с доверенных IP-адресов через ожидаемые порты и протоколы. Злоумышленник с соответствующими полномочиями может ввести новые правила брандмауэра или политики, чтобы открыть доступ в облачную среду жертвы и/или перейти из плоскости управления облаком в плоскость данных. Например, злоумышленник может использовать скрипт или утилиту, создающую новые правила входа в существующих группах безопасности (или полностью создающую новые группы безопасности), чтобы разрешить любое TCP/IP-подключение к экземпляру, размещенному в облаке.(Цитата: Palo Alto Unit 42 Compromised Cloud Compute Credentials 2022) Он также может снять сетевые ограничения для поддержки трафика, связанного с вредоносной деятельностью (например, криптомайнингом).(Цитата: Expel IO Evil in AWS)(Цитата: Palo Alto Unit 42 Compromised Cloud Compute Credentials 2022)
Модификация или отключение брандмауэра «облака» может позволить противнику осуществлять C2-коммуникации, боковое перемещение и/или утечку данных, которые в противном случае были бы недопустимы. Это также может быть использовано для открытия ресурсов для Brute Force или Endpoint Denial of Service.
https://attack.mitre.org/techniques/T1562/007
Визуализация смежных техник для T1562.007
| № | Техника |
|---|
