T1648: БЕЗСЕРВЕРНЕ ВИКОНАННЯ (SERVERLESS EXECUTION)
Зловмисники зловживають безсерверними обчисленнями та сервісами автоматизації (AWS Lambda, Azure Functions, Google Cloud Functions) для виконання довільного коду. Це дозволяє запускати шкідливі сценарії без створення віртуальних машин, що ускладнює виявлення. Техніка також включає використання сервісів автоматизації бізнес-процесів (Power Automate, Google Apps Script) для прихованої ексфільтрації даних або маніпуляцій з правами доступу
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть зловживати безсерверними обчисленнями, сервісами інтеграції та автоматизації для виконання довільного коду в хмарних середовищах. Багато хмарних провайдерів пропонують різноманітні безсерверні ресурси, включаючи обчислювальні рушії (compute engines), сервіси інтеграції додатків та веб-сервери.
Зловмисники можуть використовувати ці ресурси різними способами для виконання довільних команд. Наприклад, вони можуть використовувати безсерверні функції для запуску шкідливого коду, такого як ПЗ для майнінгу криптовалют (Resource Hijacking). Також зловмисники можуть створювати функції, які сприяють подальшій компрометації хмарного середовища. Наприклад, зловмисник може використати дозвіл IAM:PassRole в AWS або iam.serviceAccounts.actAs у Google Cloud, щоб додати додаткові хмарні ролі до безсерверної функції. Це дозволить функції виконувати дії, на які початковий користувач не має прав.
Безсерверні функції також можуть викликатися у відповідь на хмарні події (Event Triggered Execution), що потенційно забезпечує постійне виконання протягом тривалого часу. Наприклад, у середовищах AWS зловмисник може створити Lambda-функцію, яка автоматично додає додаткові хмарні облікові дані користувачеві, та відповідне правило CloudWatch Events, яке викликає цю функцію щоразу, коли створюється новий користувач.
Це також можливо в багатьох хмарних офісних пакетах. Наприклад, у середовищах Microsoft 365 зловмисник може створити робочий процес Power Automate, який пересилає всі електронні листи, отримані користувачем, або створює анонімні посилання для спільного доступу щоразу, коли користувачу надається доступ до документа в SharePoint. У середовищах Google Workspace вони можуть натомість створити Apps Script, який викрадає дані користувача, коли той відкриває файл.
Чому це небезпечно?
- Ефемерність: Функція запускається на секунди і зникає, не залишаючи звичних логів на диску.
- Масштабованість: Зловмисник може запустити тисячі функцій одночасно за рахунок ресурсів жертви.
- Довіра до платформи: Трафік від Google Apps Script або Power Automate зазвичай вважається легітимним і не блокується корпоративними фільтрами.