V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1580Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Обнаружение облачной инфраструктуры

Злоумышленник может попытаться обнаружить инфраструктуру и ресурсы, доступные в среде инфраструктуры как услуги (IaaS). Это включает ресурсы вычислительного сервиса, такие как экземпляры, виртуальные машины и снимки, а также ресурсы других сервисов, включая сервисы хранения и баз данных. Облачные провайдеры предлагают методы, такие как API и команды, выполняемые через интерфейсы командной строки (CLI), для предоставления информации об инфраструктуре. Например, AWS предоставляет API DescribeInstances в рамках Amazon EC2 API, который может возвращать информацию об одном или нескольких экземплярах в учетной записи, API ListBuckets, который возвращает список всех корзин, принадлежащих аутентифицированному отправителю запроса, API HeadBucket для определения существования корзины вместе с разрешениями доступа отправителя запроса, или API GetPublicAccessBlock для получения конфигурации блока публичного доступа для корзины. Аналогично, Cloud SDK CLI от GCP предоставляет команду gcloud compute instances list для перечисления всех экземпляров Google Compute Engine в проекте, а команда CLI Azure az vm list перечисляет детали виртуальных машин. В дополнение к командам API злоумышленники могут использовать инструменты с открытым исходным кодом для обнаружения облачной инфраструктуры хранения через Сканирование по словарю. Злоумышленник может перечислять ресурсы, используя ключи доступа скомпрометированного пользователя, чтобы определить, какие из них доступны этому пользователю. Обнаружение этих доступных ресурсов может помочь злоумышленникам определить свои следующие шаги в облачной среде, такие как установление закрепления. Злоумышленник также может использовать эту информацию для изменения конфигурации, чтобы сделать корзину публично доступной, позволяя получать доступ к данным без аутентификации. Злоумышленники также могут использовать API обнаружения инфраструктуры, такие как DescribeDBInstances, для определения размера, владельца, разрешений и сетевых ACL ресурсов баз данных. Злоумышленники могут использовать эту информацию для определения потенциальной ценности баз данных и выяснения требований для доступа к ним. В отличие от Обнаружения облачных сервисов, эта техника фокусируется на обнаружении компонентов предоставляемых сервисов, а не самих сервисов.

Тактики

Изучение

Платформы

IaaS

Меры защиты

M1018
Управление учётными записями пользователей
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.