T1578.001
ایجاد Snapshot
Create Snapshotتوضیحات
مهاجمان snapshotهایی از volumeهای ابری ایجاد میکنند تا دادههای حساس را استخراج کنند. با ایجاد snapshot از volumeهای حاوی دادههای حساس، مهاجمان میتوانند آنها را در حسابهای خود mount کنند.
روشهای شناسایی
نظارت بر ایجاد snapshot. بررسی لاگهای CloudTrail. شناسایی ایجاد snapshot غیرعادی. تحلیل فعالیتهای ابری.
روشهای مقابله
نظارت بر ایجاد snapshot. پیادهسازی IAM با حداقل سطح دسترسی. استفاده از MFA. بررسی منظم snapshotها. پیادهسازی CSPM.
تکنیک اصلی
T1578Modify Cloud Compute Infrastructure
تغییر زیرساخت محاسباتی ابری
مهاجمان سرویسهای محاسباتی ابری را تغییر میدهند تا از دفاعها فرار کنند و شواهد را حذف کنند. این تکنیک شامل ایجاد snapshot، ایجاد یا حذف instanceهای ابری و revert کردن به snapshotهای قبلی میشود.
سایر زیرتکنیکها (1)