与其他账户共享的 EC2 AMI
编辑与其他账户共享的 EC2 AMI
编辑识别与另一个 AWS 账户共享的 AWS Amazon 机器映像 (AMI)。拥有访问权限的攻击者可能会将 AMI 与外部 AWS 账户共享,作为数据泄露的一种手段。AMI 可能包含密钥、bash 历史记录、代码工件和其他敏感数据,如果与未经授权的账户共享,攻击者可能会滥用这些数据。AMI 也可能意外地公开可用。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重性: 中等
风险评分: 47
每隔: 10 分钟
搜索索引自: now-60m (日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS EC2
- 用例:威胁检测
- 战术:渗透
版本: 2
规则作者:
- Elastic
规则许可证: Elastic License v2
调查指南
编辑分类和分析
调查与其他账户共享的 EC2 AMI
此规则识别何时将 Amazon 机器映像 (AMI) 与另一个 AWS 账户共享。虽然共享 AMI 是一种常见做法,但攻击者可能会利用此功能通过与他们控制下的外部账户共享 AMI 来窃取数据。
可能的调查步骤
-
查看共享事件: 识别涉及的 AMI 并查看 AWS CloudTrail 中的事件详细信息。查找
ModifyImageAttribute操作,其中 AMI 属性已更改为包含其他用户账户。 -
请求和响应参数: 检查 CloudTrail 事件中的
aws.cloudtrail.request_parameters和aws.response.response_elements字段,以识别 AMI ID 和与之共享 AMI 的账户的用户 ID。 - 验证共享的 AMI: 检查共享的 AMI 及其内容,以确定其中存储的数据的敏感性。
- 与近期更改关联: 将此共享事件与 AMI 配置和部署中的近期更改进行比较。查找任何其他最近的权限更改或异常的管理操作。
- 验证外部账户: 检查与之共享 AMI 的 AWS 账户。确定此账户是否已知并之前被授权访问此类资源。
- 采访相关人员: 如果共享是由用户发起的,请与负责管理 AMI 部署的人员或团队核实此操作的目的和授权。
- 审核相关安全策略: 检查管理组织内 AMI 共享的安全策略,以确保它们正在被遵守并且足以防止未经授权的共享。
误报分析
- 合法的共享实践: AMI 共享是 AWS 中用于协作和资源管理的常见且合法的实践。在升级之前,始终验证共享活动是否未经授权。
- 自动化工具: 一些组织使用自动化工具进行 AMI 管理,这些工具可能会以编程方式共享 AMI。验证此类工具是否正在运行,以及它们的操作是否是造成观察到的行为的原因。
响应和补救
- 审查并撤销未经授权的共享: 如果发现共享未经授权,请立即撤销 AMI 的共享权限。
- 增强对共享 AMI 的监控: 实施监控以跟踪对共享 AMI 的更改,并在未经授权的访问模式时发出警报。
- 事件响应: 如果确认存在恶意意图,请将其视为数据泄露事件并启动事件响应协议。这包括进一步调查、遏制和恢复。
- 策略更新: 审查并可能更新组织关于 AMI 共享的策略,以加强控制并防止未经授权的访问。
- 用户教育: 为参与管理 AMI 的用户组织培训课程,以加强最佳实践和组织关于 AMI 共享的策略。
其他信息
有关管理和共享 AMI 的更多信息,请参阅 有关 AMI 的 Amazon EC2 用户指南 和 共享 AMI。此外,请探索 Stratus Red Team 在 此处 记录的通过 AMI 共享进行数据泄露的对抗技术。
规则查询
编辑event.dataset: "aws.cloudtrail" and event.provider: "ec2.amazonaws.com"
and event.action: ModifyImageAttribute and event.outcome: success
and aws.cloudtrail.request_parameters: (*imageId* and *add* and *userId*)
框架: MITRE ATT&CKTM
-
战术
- 名称:渗透
- ID:TA0010
- 参考 URL:https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称:将数据传输到云账户
- ID:T1537
- 参考 URL:https://attack.mitre.org/techniques/T1537/