Облачные сервисы стали неотъемлемой частью повседневной деятельности многих организаций для управления идентификационными данными, обмена файлами и сотрудничества с другими отделами. Популярные облачные сервисы, такие как Azure, AWS и Google Cloud, обеспечивают единый вход на многие ресурсы в сети, позволяя пользователям получать к ним доступ. Хотя эти сервисы облегчают управление идентификацией, злоумышленники могут злоупотреблять ими для получения доступа к удаленным ресурсам с целью совершения вредоносных операций.
Использование облачных сервисов злоумышленниками
По мере роста корпоративных сетей многие организации стали использовать облачные сервисы для управления идентификационными данными и привилегиями. Хотя использование облачных служб для управления идентификацией упростило доступ пользователей к удаленным ресурсам, это также открыло новый вектор атак для злоумышленников. Злоумышленники могут получить доступ к удаленным службам, используя действующие учетные записи скомпрометированных узлов и синхронизированные локальные идентификационные данные. Получив первоначальный доступ к узлу в корпоративной сети, злоумышленники могут:
- переходить в облачные среды, используя скомпрометированные привилегии пользователей.
- аутентификация в других удаленных службах с помощью облачных сервисов, таких как единая регистрация.
- выполнение вредоносной полезной нагрузки в удаленной системе с помощью облачных сервисов.
Злоумышленники также могут получить доступ к облачным сервисам через веб-консоль или интерфейс командной строки облака (CLI) с помощью скомпрометированных пользователей. Для доступа к облачным службам не обязательно вводить имя пользователя и пароль, атакующие могут использовать Application Access Token [T1550.001] для аутентификации в облачных и удаленных службах.
