دستکاری حساب کاربری

مهاجمان اعتبارنامه‌های اضافی به حساب‌های ابری اضافه می‌کنند تا دسترسی مداوم داشته باشند. این شامل اضافه کردن access key، service principal یا application credential به حساب‌های AWS، Azure یا GCP می‌شود. حتی اگر رمز عبور اصلی تغییر کند، مهاجم می‌تواند از اعتبارنامه‌های اضافی استفاده کند.

مهاجمان مجوزهای نمایندگی ایمیل را به حساب‌های کاربری اضافه می‌کنند تا به ایمیل‌های قربانی دسترسی مداوم داشته باشند. این تکنیک در محیط‌های Microsoft Exchange و Office 365 رایج است و به مهاجمان اجازه می‌دهد ایمیل‌ها را بخوانند، ارسال کنند یا مدیریت کنند.

مهاجمان نقش‌های ابری اضافی به حساب‌های موجود اضافه می‌کنند تا سطح دسترسی را افزایش دهند یا پایداری ایجاد کنند. این شامل اضافه کردن نقش‌های مدیریتی در AWS، Azure یا GCP می‌شود. با داشتن نقش‌های بالاتر، مهاجم می‌تواند منابع بیشتری را کنترل کند.

مهاجمان کلیدهای SSH مخرب را به فایل authorized_keys سرورها اضافه می‌کنند تا دسترسی مداوم بدون رمز عبور داشته باشند. این تکنیک در سیستم‌های لینوکس و macOS رایج است و به مهاجمان اجازه می‌دهد حتی پس از تغییر رمز عبور به سیستم دسترسی داشته باشند.

مهاجمان دستگاه‌های مخرب را در سرویس‌های مدیریت دستگاه ثبت می‌کنند تا دسترسی مداوم داشته باشند. این تکنیک در محیط‌های Azure AD و سایر سرویس‌های MDM رایج است. با ثبت دستگاه، مهاجم می‌تواند از سیاست‌های Conditional Access عبور کند.