Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1580 - Изучение облачной инфраструктуры

Техники:  T1580

Злоумышленник может попытаться обнаружить инфраструктуру и ресурсы, доступные в среде инфраструктуры как услуги (IaaS). Сюда входят ресурсы вычислительных служб, такие как экземпляры, виртуальные машины и моментальные снимки, а также ресурсы других служб, включая службы хранения данных и базы данных.

Для получения информации об инфраструктуре поставщики облачных услуг предлагают такие методы, как API и команды, выдаваемые через CLI. Например, AWS предоставляет API DescribeInstances в Amazon EC2 API, который может возвращать информацию об одном или нескольких экземплярах в рамках учетной записи, API ListBuckets, который возвращает список всех ведер, принадлежащих аутентифицированному отправителю запроса, API HeadBucket для определения существования ведра вместе с разрешениями доступа отправителя запроса или API GetPublicAccessBlock для получения конфигурации блока доступа для ведра.(Цитата: Amazon Describe Instance)(Цитата: Amazon Describe Instances API)(Цитата: AWS Get Public Access Block)(Цитата: AWS Head Bucket) Аналогично, Cloud SDK CLI GCP предоставляет команду gcloud compute instances list для перечисления всех экземпляров Google Compute Engine в проекте (Цитата: Google Compute Instances), а команда CLI Azure az vm list перечисляет сведения о виртуальных машинах.(Цитата: Microsoft AZ CLI) Помимо команд API, Злоумышленники могут использовать инструменты с открытым исходным кодом для обнаружения инфраструктуры облачного хранилища с помощью Wordlist Scanning. (Цитата: Malwarebytes OSINT Leaky Buckets - Hioureas)

Злоумышленник может перечислить ресурсы, используя ключи доступа скомпрометированного пользователя, чтобы определить, какие ресурсы доступны этому пользователю.(Цитата: Expel IO Evil in AWS) Обнаружение этих доступных ресурсов может помочь Злоумышленникам определить свои дальнейшие действия в облачной среде, например, установить Persistence.(Цитата: Mandiant M-Trends 2020)Злоумышленник также может использовать эту информацию для изменения конфигурации, чтобы сделать ведро общедоступным, что позволит получить доступ к данным без аутентификации. Злоумышленники также могут использовать API для обнаружения инфраструктуры, такие как DescribeDBInstances, чтобы определить размер, владельца, разрешения и сетевые ACL ресурсов базы данных. (Цитата: AWS Describe DB Instances) Злоумышленники могут использовать эту информацию для определения потенциальной ценности баз данных и выявления требований для доступа к ним.В отличие от Cloud Service Discovery, эта техника сосредоточена на обнаружении компонентов предоставляемых услуг, а не самих услуг.

https://attack.mitre.org/techniques/T1580

← Назад

Визуализация смежных техник для T1580

Отрасль:
 с подтехниками
Техника

Закрыть