通过假定角色获取 AWS EC2 管理员凭据

编辑

通过假定角色获取 AWS EC2 管理员凭据

编辑

使用GetPassword标识AWS中用户身份的首次出现，该身份用于获取具有假定角色的EC2实例的管理员密码。攻击者可能会使用此API调用来提升权限或在EC2实例内横向移动。

规则类型: new_terms

规则索引:

filebeat-*
logs-aws.cloudtrail*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

https://cloud.hacktricks.xyz/pentesting-cloud/aws-security/aws-privilege-escalation/aws-ec2-privesc

标签:

领域：云
数据源：AWS
数据源：Amazon Web Services
数据源：Amazon EC2
用例：身份和访问审核
资源：调查指南
策略：凭据访问

版本: 3

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过假定角色获取 AWS EC2 管理员凭据

此规则检测到用户身份首次使用 AWS 中的 GetPasswordData API 调用，该调用检索 EC2 实例的管理员密码。这可能是攻击者试图提升权限或在 EC2 实例内横向移动的指标。

这是一个新的术语规则，这意味着它只会针对 aws.cloudtrail.user_identity.session_context.session_issuer.arn 字段的每个唯一值触发一次，该字段在过去 7 天内未被发现发出此 API 请求。此字段包含触发 API 调用的假定角色的 Amazon 资源名称 (ARN)。

可能的调查步骤

识别用户身份和角色: 检查 AWS CloudTrail 日志以确定发出 GetPasswordData 请求的用户身份。特别注意与用户关联的角色和权限。
查看请求和响应参数: 分析 aws.cloudtrail.request_parameters 和 aws.cloudtrail.response_elements 字段以了解 API 调用的上下文和检索到的密码。
与用户行为关联: 将此活动与用户的典型行为模式进行比较。查找用户或角色在事件发生前和发生后采取的异常登录时间、IP 地址或其他异常行为。
查看 EC2 实例详细信息: 检查从中检索密码的 EC2 实例的详细信息。评估在此实例上运行的应用程序的关键性和敏感性。
检查相关的 CloudTrail 事件: 搜索同一用户身份发出的其他 API 调用，特别是那些修改安全组、网络访问控制或实例元数据的调用。
检查横向移动: 查找已获得的凭据已被用于访问 AWS 中的其他资源或服务的证据。
调查 API 调用的来源: 分析请求发起的 IP 地址和地理位置。确定它是否与合法管理活动的预期位置一致。

误报分析

合法的管理操作: 确保活动并非合法管理任务（例如系统维护或更新）的一部分。
自动化脚本: 验证活动是否由授权出于合法目的使用 GetPasswordData 的自动化或部署脚本生成。

响应和补救措施

立即隔离: 如果可疑，请隔离受影响的实例，以防止任何潜在的横向移动或进一步的未经授权的操作。
凭据轮换: 轮换受影响实例或假定角色以及任何其他可能受损的凭据。
用户帐户审查: 查看相关用户身份的权限。通过调整权限以防止滥用，来应用最小权限原则。
增强监控: 增加对触发规则的用户身份和类似 EC2 实例的监控。
事件响应: 如果确认存在恶意意图，请启动事件响应协议。这包括进一步调查、威胁遏制、清除任何威胁参与者存在以及恢复受影响的系统。
预防措施: 实施或增强安全措施，例如多因素身份验证和对 GetPasswordData 等敏感操作的持续审核。

附加信息

请参考以下资源，例如 AWS 权限提升方法和 MITRE ATT&CK 技术 T1552.005 - 云实例元数据 API，以了解有关潜在漏洞和缓解策略的更多详细信息。

规则查询

编辑

event.dataset:"aws.cloudtrail"
    and event.provider:"ec2.amazonaws.com" and event.action:"GetPasswordData"
    and aws.cloudtrail.user_identity.type:"AssumedRole" and aws.cloudtrail.error_code:"Client.UnauthorizedOperation"

框架: MITRE ATT&CK^TM

策略
- 名称：凭据访问
- ID：TA0006
- 参考网址：https://attack.mitre.org/tactics/TA0006/
技术
- 名称：不安全的凭据
- ID：T1552
- 参考网址：https://attack.mitre.org/techniques/T1552/
子技术
- 名称：云实例元数据 API
- ID：T1552.005
- 参考网址：https://attack.mitre.org/techniques/T1552/005/

« 从单个资源通过 CLI 调用 AWS Discovery API 与另一个账户共享的 AWS EC2 EBS 快照 »