AWS IAM Assume Role 策略的暴力破解
编辑AWS IAM Assume Role 策略的暴力破解编辑
识别对 AWS 身份和访问管理 (IAM) 角色进行的大量失败的 Assume Role 尝试。IAM 角色用于将访问权限委派给用户或服务。攻击者可能会尝试枚举 IAM 角色,以确定某个角色是否存在,然后再尝试 Assume 或劫持发现的角色。
规则类型:阈值
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重程度:中等
风险评分: 47
运行频率:5 分钟
搜索以下时间段内的索引:now-20m(日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 用例:身份和访问审核
- 资源:调查指南
- 策略:凭据访问
版本: 210
规则作者:
- Elastic
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查 AWS IAM Assume Role 策略的暴力破解
IAM 角色是您可以在帐户中创建的具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,具有确定该身份在 AWS 中可以做什么和不能做什么的权限策略。但是,角色不是与一个人唯一关联,而是供任何需要它的人 Assume。此外,角色没有与其关联的标准长期凭据,例如密码或访问密钥。相反,当您 Assume 角色时,它会为您提供角色会话的临时安全凭据。
攻击者可能会尝试枚举 IAM 角色,以确定某个角色是否存在,然后再尝试 Assume 或劫持发现的角色。
可能的调查步骤
- 识别执行该操作的用户帐户,以及该帐户是否应执行此类操作。
- 验证
RoleName参数在所有请求中是否包含唯一值,或者该活动是否是潜在的暴力破解攻击。 - 验证用户帐户在过去 24 小时内是否成功更新了信任策略。
- 通过查找日志中的过去事件,检查此角色在环境中是否存在。
- 调查过去 48 小时内与该用户帐户相关的其他警报。
- 联系帐户和资源所有者,确认他们是否知道此活动。
- 考虑一天中的时间。如果用户是真人(不是程序或脚本),该活动是否发生在正常的时间段?
- 检查该帐户在过去 24 小时内的命令、API 调用和数据管理操作。
- 如果您怀疑该帐户已被盗,请通过跟踪该帐户在过去 24 小时内访问过的服务器、服务和数据来确定可能受损的资产范围。
误报分析
- 验证在失败尝试中定位的角色,以及目标角色以前是否在环境中存在。如果在请求中只定位了一个角色,并且该角色以前存在,则这可能是一个误报,因为自动化可能会继续定位过去在环境中存在但现在已不存在的角色,从而导致误报 (FP)。
响应和修复
- 根据分类结果启动事件响应流程。
- 在调查和响应期间禁用或限制该帐户。
- 确定事件的可能影响,并确定优先级;以下操作可以帮助您了解上下文
- 识别云环境中的帐户角色。
- 评估受影响的服务和服务器的关键程度。
- 与您的 IT 团队合作,确定并最大限度地减少对用户的影响。
- 确定攻击者是否正在横向移动并攻击其他帐户、服务器或服务。
- 确定与此活动相关的任何监管或法律后果。
- 调查攻击者入侵或使用的系统上的凭据泄露情况,以确保识别所有受损帐户。根据需要重置密码或删除 API 密钥,以撤销攻击者对环境的访问权限。与您的 IT 团队合作,在执行这些操作期间最大限度地减少对业务运营的影响。
- 检查是否创建了未经授权的新用户,删除未经授权的新帐户,并为其他 IAM 用户请求密码重置。
- 考虑为用户启用多重身份验证。
- 查看分配给相关用户的权限,以确保遵循最小权限原则。
- 实施 AWS 概述 的安全最佳实践。
- 确定攻击者最初滥用的攻击途径,并采取行动防止通过同一途径再次受到攻击。
- 使用事件响应数据更新日志记录和审计策略,以缩短平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
设置编辑
要与此规则兼容,需要使用 AWS Fleet 集成、Filebeat 模块或类似结构的数据。
规则查询编辑
event.dataset:aws.cloudtrail and event.provider:iam.amazonaws.com and event.action:UpdateAssumeRolePolicy and aws.cloudtrail.error_code:MalformedPolicyDocumentException and event.outcome:failure
框架:MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考 URL:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:暴力破解
- ID:T1110
- 参考 URL:https://attack.mitre.org/techniques/T1110/