Бессерверное выполнение

Злоумышленники могут злоупотреблять бессерверными вычислениями, службами интеграции и автоматизации для выполнения произвольного кода в облачных средах. Многие облачные провайдеры предлагают различные бессерверные ресурсы, включая вычислительные движки, службы интеграции приложений и веб-серверы. Злоумышленники могут злоупотреблять этими ресурсами различными способами в качестве средства выполнения произвольных команд. Например, злоумышленники могут использовать бессерверные функции для выполнения вредоносного кода, такого как вредоносное ПО для криптомайнинга (т.е. Перехват ресурсов). Злоумышленники также могут создавать функции, которые обеспечивают дальнейшую компрометацию облачной среды. Например, злоумышленник может использовать разрешение `IAM:PassRole` в AWS или разрешение `iam.serviceAccounts.actAs` в Google Cloud для добавления Дополнительных облачных ролей к бессерверной облачной функции, которая затем может выполнять действия, недоступные исходному пользователю. Бессерверные функции также могут вызываться в ответ на облачные события (т.е. Выполнение, инициируемое событием), потенциально обеспечивая постоянное выполнение с течением времени. Например, в средах AWS злоумышленник может создать функцию Lambda, которая автоматически добавляет Дополнительные облачные учетные данные пользователю, и соответствующее правило событий CloudWatch, которое вызывает эту функцию всякий раз, когда создается новый пользователь. Это также возможно во многих облачных пакетах офисных приложений. Например, в средах Microsoft 365 злоумышленник может создать рабочий процесс Power Automate, который пересылает все электронные письма, получаемые пользователем, или создает анонимные ссылки для общего доступа всякий раз, когда пользователю предоставляется доступ к документу в SharePoint. В средах Google Workspace они могут вместо этого создать Apps Script, который эксфильтрует данные пользователя, когда он открывает файл.