T1548.005

دسترسی موقت elevated ابری

Temporary Elevated Cloud Access

توضیحات

مهاجمان از مکانیزم‌های دسترسی موقت elevated در محیط‌های ابری سوءاستفاده می‌کنند. این شامل سوءاستفاده از just-in-time access، role assumption و سایر مکانیزم‌های دسترسی موقت در AWS، Azure و GCP می‌شود. مهاجمان می‌توانند این دسترسی‌ها را برای اجرای عملیات مخرب استفاده کنند.

روش‌های شناسایی

نظارت بر فعال‌سازی دسترسی‌های موقت. بررسی لاگ‌های IAM. شناسایی استفاده غیرعادی از role assumption. تحلیل الگوهای دسترسی ابری.

روش‌های مقابله

پیاده‌سازی IAM با حداقل سطح دسترسی. نظارت بر دسترسی‌های موقت. استفاده از MFA. محدود کردن مدت زمان دسترسی موقت. بررسی منظم دسترسی‌های ابری.

تکنیک اصلی

T1548Abuse Elevation Control Mechanism

سوءاستفاده از مکانیزم کنترل ارتقاء

مهاجمان از مکانیزم‌های طراحی شده برای کنترل سطوح دسترسی بالاتر سوءاستفاده می‌کنند. این مکانیزم‌ها مانند UAC در ویندوز، sudo در لینوکس و macOS برای جلوگیری از اجرای غیرمجاز کد با سطح دسترسی بالا طراحی شده‌اند. مهاجمان می‌توانند این مکانیزم‌ها را دور بزنند تا بدون اطلاع کاربر به سطح دسترسی بالاتر برسند.

سایر زیرتکنیک‌ها (5)

T1548.001 · Setuid و Setgid T1548.002 · دور زدن کنترل حساب کاربری T1548.003 · Sudo و کش Sudo T1548.004 · اجرای elevated با prompt T1548.006 · دستکاری TCC