与另一账户共享的 EC2 AMI
编辑与另一账户共享的 EC2 AMI
编辑识别与另一个 AWS 账户共享的 AWS Amazon 机器映像 (AMI)。具有访问权限的攻击者可能会将 AMI 与外部 AWS 账户共享,作为数据泄露的一种手段。AMI 可能包含密钥、bash 历史记录、代码工件和其他敏感数据,如果与未经授权的账户共享,攻击者可能会滥用这些数据。AMI 也可能被意外公开。
规则类型: 查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重程度: 中
风险评分: 47
运行频率: 10 分钟
搜索索引的时间范围: now-60m (日期数学格式,另请参阅 额外回溯时间)
每次执行的最大告警数: 100
参考:
标签:
- 域: 云
- 数据源: AWS
- 数据源: 亚马逊网络服务
- 数据源: AWS EC2
- 用例: 威胁检测
- 战术: 数据泄露
版本: 2
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查与另一账户共享的 EC2 AMI
此规则识别何时与另一个 AWS 账户共享亚马逊机器映像 (AMI)。虽然共享 AMI 是一种常见的做法,但攻击者可能会利用此功能,通过与他们控制下的外部账户共享 AMI 来泄露数据。
可能的调查步骤
-
审查共享事件: 识别涉及的 AMI,并审查 AWS CloudTrail 中的事件详细信息。查找
ModifyImageAttribute操作,其中 AMI 属性已更改为包括其他用户帐户。 -
请求和响应参数: 检查 CloudTrail 事件中的
aws.cloudtrail.request_parameters和aws.response.response_elements字段,以识别 AMI ID 和共享 AMI 的帐户的用户 ID。 - 验证共享的 AMI: 检查已共享的 AMI 及其内容,以确定其中存储的数据的敏感性。
- 结合近期更改进行情境化: 将此共享事件与 AMI 配置和部署的近期更改进行比较。查找任何其他近期权限更改或异常管理操作。
- 验证外部账户: 检查 AMI 共享到的 AWS 账户。确定该账户是否已知且先前已授权访问此类资源。
- 采访相关人员: 如果共享是由用户发起的,请与负责管理 AMI 部署的个人或团队核实此操作的意图和授权。
- 审计相关安全策略: 检查组织内管理 AMI 共享的安全策略,以确保它们得到遵守,并且足以防止未经授权的共享。
误报分析
- 合法的共享实践: AMI 共享是 AWS 中用于协作和资源管理的常见且合法的实践。始终在升级之前验证共享活动是否未经授权。
- 自动化工具: 一些组织使用自动化工具进行 AMI 管理,这些工具可能会以编程方式共享 AMI。验证此类工具是否在运行以及它们的操作是否导致了观察到的行为。
响应和补救
- 审查和撤销未经授权的共享: 如果发现共享未经授权,请立即从 AMI 撤销共享权限。
- 加强对共享 AMI 的监控: 实施监控以跟踪对共享 AMI 的更改,并在出现未经授权的访问模式时发出告警。
- 事件响应: 如果确认存在恶意意图,请将其视为数据泄露事件并启动事件响应协议。这包括进一步的调查、遏制和恢复。
- 策略更新: 审查并可能更新您组织关于 AMI 共享的策略,以加强控制并防止未经授权的访问。
- 教育用户: 为参与管理 AMI 的用户举办培训课程,以加强关于 AMI 共享的最佳实践和组织策略。
附加信息
有关管理和共享 AMI 的更多信息,请参阅亚马逊 EC2 用户指南 (关于 AMI) 和 共享 AMI。此外,请探索 Stratus Red Team 记录的关于通过 AMI 共享进行数据泄露的相关对抗技术,此处。
规则查询
编辑event.dataset: "aws.cloudtrail" and event.provider: "ec2.amazonaws.com"
and event.action: ModifyImageAttribute and event.outcome: success
and aws.cloudtrail.request_parameters: (*imageId* and *add* and *userId*)
框架: MITRE ATT&CKTM
-
战术
- 名称: 数据泄露
- ID: TA0010
- 参考 URL: https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称: 将数据传输到云账户
- ID: T1537
- 参考 URL: https://attack.mitre.org/techniques/T1537/