T1651: КОМАНДИ ХМАРНОГО АДМІНІСТРУВАННЯ
Зловмисники зловживають сервісами управління хмарою для виконання команд усередині віртуальних машин. Використовуючи такі ресурси, як AWS Systems Manager, Azure RunCommand або Runbooks, вони можуть дистанційно запускати скрипти через встановлені агенти віртуальних машин. Це дозволяє виконувати код безпосередньо в операційній системі інстансу, оминаючи стандартні мережеві протоколи віддаленого доступу (як-от SSH або RDP).
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати службами управління хмарою для виконання команд усередині віртуальних машин. Такі ресурси, як AWS Systems Manager, Azure RunCommand та Runbooks, дозволяють користувачам віддалено запускати скрипти у віртуальних машинах, використовуючи встановлені агенти ВМ.
Якщо зловмисник отримує адміністративний доступ до хмарного середовища, він може отримати можливість зловживати сервісами управління хмарою для виконання команд у віртуальних машинах цього середовища. Крім того, зловмисник, який скомпрометував обліковий запис постачальника послуг або делегованого адміністратора, може аналогічним чином використати довірені відносини (Trusted Relationship) для виконання команд у підключених віртуальних машинах.
Ключові особливості:
- Обхід мережевого захисту: Команди передаються через шину управління хмарного провайдера, а не через зовнішні порти ВМ.
- Високі привілеї: Агенти (наприклад, AWS SSM Agent) зазвичай працюють з правами root або SYSTEM.
- Специфічність логів: Дії фіксуються в хмарних логах (CloudTrail, Azure Activity Log), а не завжди в стандартних журналах аудиту операційної системи.