全文共计1548字,预计阅读8分钟
本文主要介绍「T1059.009 云API异常调用」检测的规则编写,帮助安全团队提高针对云环境的防护能力场景。
介绍
Mitre ATT&CK框架将攻击过程分为多个阶段,从初始访问、信息收集、权限提升再到数据泄漏,每个阶段都包括多个战术和技术。
在实际场景中,「基于云API的异常调用」通常是攻击链的一环,且需要具备一定的前置条件。
以 AWS 为例,攻击者通过枚举发现目标存在一个带有 SSRF 漏洞的 旧版本Web 服务,利用该漏洞可以通过 file:// 协议读取本地文件,或者访问云实例的元数据 API 获取明文凭据。随后,攻击者可能利用未启用多因素认证(MFA)的账户生成 AWS 控制台访问权限,绕过安全控制,进而获取云资源访问权限,并进一步嗅探内部资源。
类别
-
战术名称: 合法账户 && 云API异常调用 -
适用平台: IaaS, Identity Provider, Office Suite, SaaS
场景
合法账户 (T1078.004) :攻击者可能利用合法的云账户(如 IAM 用户)进行未经授权的访问。未使用 MFA 的账户会显著降低访问控制的安全性。
云API异常调用(T1059.009):攻击者可能利用泄露的凭据和密钥进行进一步未授权的调用,尝试利用已掌握的身份横向到其他内部机器。
检测和响应
案例一
IAM用户登录时未使用MFA,往往意味着可能存在机器账户的密钥被利用,这是安全合规中的一个高风险问题。以下规则检测所有未启用MFA的登录,并定位可疑来源IP。
title: Detection of Console Login Without MFA
uuid: f123e4g5-67h8-910i-jk11-l123mn456op7
description: Detects console login attempts by IAM users without MFA in AWS.
logsource:
product: aws
service: cloudtrail
detection:
selection:
eventName: "ConsoleLogin"
additionalEventData.MFAUsed: "No"
userIdentity.type: "IAMUser"
condition: selection
fields:
- userIdentity.accountId
- userIdentity.arn
- sourceIPAddress
- responseElements.ConsoleLogin
level: high
tags:
- attack.privilege_escalation
- attack.t1078.004
日志源:AWS Cloudtrail
告警等级: 高
误报(False Postive): 确实存提供给供应商使用的临时云用户或角色没有强制配置MFA。
案例二
未授权操作可能是攻击者探索权限边界的一部分。以下规则检测所有AccessDenied和UnauthorizedOperation的调用,企业安全人员可以筛选出其中的不常见操作,制作成lookup供筛选。
title: Unauthorized AWS API Calls Detection
uuid: f23e4567-e89b-12d3-a456-426614174001
status: experimental
description: Detects unauthorized AWS API calls by identifying AccessDenied and UnauthorizedOperation error codes in CloudTrail logs.
references:
- https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference.html
author: SecOps Team
logsource:
category: cloud
service: aws
product: cloudtrail
detection:
selection:
errorCode:
- "AccessDenied"
- "UnauthorizedOperation"
condition: selection
fields:
- eventName
- userIdentity.arn
- sourceIPAddress
- errorCode
- awsRegion
- eventSource
falsepositives:
- Legitimate user actions where permissions are intentionally restricted
- Application misconfigurations causing unauthorized calls
level: medium
tags:
- attack.Execution
- attack.t1059
- attack.t1059.009
日志源:AWS CloudTrail
告警等级: 中
误报(False Postive):
-
合法用户权限不足,缺少适当的IAM权限。 -
策略限制导致的误报。
响应步骤
-
确认凭据来源:检查调用的用户身份,确认是否来源于机器账户凭据(EC2 Instance Profile)。 -
分析服务调用行为:识别异常的服务调用或权限探测行为(如调用敏感服务 s3:ListBuckets)。 -
限制 IMDS 访问:启用 IMDS v2 并配置最小权限的角色策略,防止攻击者滥用实例元数据访问权限。 -
监控内网活动:设置警报监控 AWS 内部服务的异常调用和数据访问行为。
规则转换
推荐使用sigma-convert (https://github.com/marirs/sigma-convert),或者在线工具sigconverter (https://sigconverter.io/),将Sigma Rule转化为相应SIEM的搜索语句。例如:
eventName="ConsoleLogin" additionalEventData.MFAUsed="No" userIdentity.type="IAMUser"
| table userIdentity.accountId,userIdentity.arn,sourceIPAddress,responseElements.ConsoleLogin
免责申明
本文提到的检测规则仅供学习和讨论使用。我们提供的示例规则和指导并不构成任何形式的正式建议或解决方案。由于每个企业的安全环境和需求都存在差异,我们强烈建议企业根据自身实际情况和环境对这些规则进行针对性修改和充分测试,以确保它们符合您的组织的具体需求和安全要求。
对于因使用或实施这些规则而可能引发的任何问题或损失,我们不承担任何责任。
参考文档
-
Mitre ATT&CK for Cloud:https://attack.mitre.org/matrices/enterprise/cloud/ -
Threat Hunting with CloudTrail and GuardDuty in Splunk:https://www.chrisfarris.com/post/reinforce-threat-hunting/ 介绍了利用AWS的Cloudtrail和GuardDuty日志进行威胁狩猎。
原文始发于微信公众号(SecLink安全空间):T1059.009 命令执行:云API异常调用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论