附加到组的 AWS IAM AdministratorAccess 策略

拥有受损凭据的攻击者可能会尝试通过向受损用户帐户所属的用户组附加额外的权限来持久化或提升权限。此规则查找使用 IAM AttachGroupPolicy API 操作将具有高度权限的 AdministratorAccess AWS 托管策略附加到现有 IAM 用户组的情况。

规则类型: esql

规则索引: 无

严重性: 中等

风险评分: 47

每隔: 5 分钟运行

搜索索引自: now-6m (日期数学格式，另请参见 额外回溯时间)

每次执行的最大告警数: 100

参考资料:

标签:

领域：云
数据源：AWS
数据源：Amazon Web Services
数据源：AWS IAM
用例：身份和访问审计
策略：权限提升
策略：持久性
资源：调查指南

版本: 3

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查附加到组的 AWS IAM AdministratorAccess 策略

AWS IAM AdministratorAccess 托管策略提供对所有 AWS 服务和资源的完全访问权限。通过访问 iam:AttachGroupPolicy 权限，可以利用一组受损的凭据将此策略附加到当前用户的组，以进行权限提升或作为持久化手段。此规则使用 ES|QL 来查找使用 AttachGroupPolicy 操作以及其中 policyName 为 AdministratorAccess 的 request_parameters 的情况。

可能的调查步骤

确定帐户及其在环境中的角色。
查看用户身份的 IAM 权限策略。
确定应该使用此帐户的应用程序或用户。
调查过去 48 小时内与该帐户相关的其他告警。
通过将 user_agent.original 字段中的异常值与预期和授权的使用情况以及历史数据进行比较来调查这些异常值。可疑的用户代理值包括非 SDK、AWS CLI、自定义用户代理等。
联系帐户所有者，确认他们是否知道此活动。
考虑发出命令的用户源 IP 地址和地理位置
对于调用用户来说，它们看起来正常吗？
如果源是 EC2 IP 地址，它是否与您帐户中的 EC2 实例相关联，或者源 IP 是否来自您无法控制的 EC2 实例？
如果是授权的 EC2 实例，该活动是否与实例角色的正常行为相关？是否存在涉及此实例的其他告警或可疑活动的迹象？
如果您怀疑帐户已被入侵，请通过跟踪帐户在过去 24 小时内访问的服务器、服务和数据来确定可能受影响的资产。
确定用户执行了哪些其他 API 调用。
通过查找涉及其他用户的类似事件来评估此行为在环境中是否普遍存在。

误报分析

由于预期使用 IAM AdministratorAccess 托管策略，可能会出现误报。验证 aws.cloudtrail.user_identity.arn 是否应具有 iam:AttachUserPolicy 权限，并且 target.userName 是否应具有完全的管理访问权限。

响应和补救

根据分类结果启动事件响应流程。
在调查和响应期间禁用或限制帐户。
轮换用户凭据
从受影响的组中删除 AdministratorAccess 策略
确定事件的可能影响并相应地进行优先级排序；以下操作可以帮助您了解上下文
确定帐户在云环境中的角色。
评估受影响的服务和服务器的关键性。
与您的 IT 团队合作，确定并最大限度地减少对用户的影响。
确定攻击者是否正在横向移动并入侵其他帐户、服务器或服务。
确定与此活动相关的任何监管或法律后果。
调查受入侵系统或攻击者使用的系统上的凭据泄露，以确保识别所有受入侵的帐户。
根据需要轮换密钥或删除 API 密钥以撤销攻击者对环境的访问权限。
与您的 IT 团队合作，最大限度地减少这些操作对业务运营的影响。
检查是否创建了未经授权的新用户，删除未经授权的新帐户，并请求其他 IAM 用户重置密码。
考虑为用户启用多因素身份验证。
查看分配给涉嫌用户的权限，以确保遵循最小权限原则。
实施 AWS 概述的安全最佳实践。
采取必要的措施，将受影响的系统、数据或服务恢复到正常的运行级别。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体再次感染。
使用事件响应数据更新日志记录和审计策略，以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

from logs-aws.cloudtrail-* metadata _id, _version, _index
| where event.provider == "iam.amazonaws.com" and event.action == "AttachGroupPolicy" and event.outcome == "success"
| dissect aws.cloudtrail.request_parameters "{%{?policyArn}=%{?arn}:%{?aws}:%{?iam}::%{?aws}:%{?policy}/%{policyName},%{?groupName}=%{group.name}}"
| where policyName == "AdministratorAccess"
| keep @timestamp, event.provider, event.action, event.outcome, policyName, group.name

框架: MITRE ATT&CK^TM

策略
- 名称：权限提升
- ID：TA0004
- 参考网址：https://attack.mitre.org/tactics/TA0004/
技术
- 名称：帐户操作
- ID：T1098
- 参考网址：https://attack.mitre.org/techniques/T1098/
子技术
- 名称：附加云角色
- ID：T1098.003
- 参考网址：https://attack.mitre.org/techniques/T1098/003/
策略
- 名称：持久性
- ID：TA0003
- 参考网址：https://attack.mitre.org/tactics/TA0003/
技术
- 名称：帐户操作
- ID：T1098
- 参考网址：https://attack.mitre.org/techniques/T1098/
子技术
- 名称：附加云角色
- ID：T1098.003
- 参考网址：https://attack.mitre.org/techniques/T1098/003/

« AWS GuardDuty 检测器删除附加到角色的 AWS IAM AdministratorAccess 策略 »