与其他账户共享的 EC2 AMI
编辑与其他账户共享的 EC2 AMI编辑
识别与另一个 AWS 账户共享的 AWS Amazon Machine Image (AMI)。具有访问权限的攻击者可能会与外部 AWS 账户共享 AMI,以此作为数据窃取的手段。AMI 可能包含密钥、bash 历史记录、代码工件和其他敏感数据,如果与未经授权的账户共享,攻击者可能会滥用这些数据。AMI 也可能意外地公开可用。
规则类型:查询
规则索引:
- filebeat-*
- logs-aws.cloudtrail-*
严重程度:中等
风险评分: 47
运行频率:10 分钟
搜索索引的时间范围:now-60m(日期数学格式,另请参阅 额外回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 域:云
- 数据源:AWS
- 数据源:Amazon Web Services
- 数据源:AWS EC2
- 用例:威胁检测
- 策略:数据窃取
版本: 2
规则作者:
- Elastic
规则许可证:Elastic License v2
调查指南编辑
分类和分析
调查与其他账户共享的 EC2 AMI
此规则识别 Amazon Machine Image (AMI) 何时与另一个 AWS 账户共享。虽然共享 AMI 是一种常见做法,但攻击者可能会利用此功能通过与他们控制的外部账户共享 AMI 来窃取数据。
可能的调查步骤
-
查看共享事件:识别涉及的 AMI 并在 AWS CloudTrail 中查看事件详细信息。查找 AMI 属性更改为包含其他用户账户的
ModifyImageAttribute操作。 -
请求和响应参数:检查 CloudTrail 事件中的
aws.cloudtrail.request_parameters和aws.response.response_elements字段,以识别 AMI ID 和与之共享 AMI 的账户的用户 ID。 - 验证共享的 AMI:检查共享的 AMI 及其内容,以确定存储在其中的数据的敏感程度。
- 与最近的更改进行关联:将此共享事件与 AMI 配置和部署中的最近更改进行比较。查找任何其他最近的权限更改或异常的管理操作。
- 验证外部账户:检查与之共享 AMI 的 AWS 账户。确定此账户是否已知并先前已获得访问此类资源的授权。
- 询问相关人员:如果共享是由用户发起的,请与负责管理 AMI 部署的人员或团队核实此操作的意图和授权。
- 审核相关的安全策略:检查组织内 governing AMI 共享的安全策略,以确保这些策略得到遵循并且足以防止未经授权的共享。
误报分析
- 合法的共享做法:AMI 共享是 AWS 中协作和资源管理的常见且合法的做法。在升级之前,务必先验证共享活动是否未经授权。
- 自动化工具:某些组织使用自动化工具进行 AMI 管理,这些工具可能会以编程方式共享 AMI。验证此类工具是否正在运行,以及它们的操作是否是观察到的行为的原因。
响应和修复
- 查看并撤消未经授权的共享:如果发现共享未经授权,请立即从 AMI 中撤消共享权限。
- 增强对共享 AMI 的监控:实施监控以跟踪对共享 AMI 的更改并在出现未经授权的访问模式时发出警报。
- 事件响应:如果确认存在恶意意图,请将其视为数据泄露事件并启动事件响应协议。这包括进一步调查、遏制和恢复。
- 策略更新:查看并可能更新组织关于 AMI 共享的策略,以加强控制并防止未经授权的访问。
- 培训用户:为参与管理 AMI 的用户举办培训课程,以加强有关 AMI 共享的最佳做法和组织策略。
其他信息
有关管理和共享 AMI 的更多信息,请参阅 Amazon EC2 用户指南中的 AMI 和 共享 AMI。此外,还可以探索 Stratus Red Team 此处 记录的与通过 AMI 共享进行数据窃取相关的攻击技术。
规则查询编辑
event.dataset: "aws.cloudtrail" and event.provider: "ec2.amazonaws.com"
and event.action: ModifyImageAttribute and event.outcome: success
and aws.cloudtrail.request_parameters: (*imageId* and *add* and *userId*)
框架:MITRE ATT&CKTM
-
策略
- 名称:数据窃取
- ID:TA0010
- 参考 URL:https://attack.mitre.org/tactics/TA0010/
-
技术
- 名称:将数据传输到云账户
- ID:T1537
- 参考 URL:https://attack.mitre.org/techniques/T1537/