T1578.003
حذف Cloud Instance
Delete Cloud Instanceتوضیحات
مهاجمان instanceهای ابری را پس از استفاده حذف میکنند تا آثار فعالیت خود را پنهان کنند. حذف instance میتواند لاگها و شواهد فعالیت مخرب را از بین ببرد.
روشهای شناسایی
نظارت بر حذف instanceهای ابری. بررسی لاگهای CloudTrail. شناسایی حذف غیرعادی instance. تحلیل فعالیتهای ابری.
روشهای مقابله
نظارت بر حذف instance. پیادهسازی IAM با حداقل سطح دسترسی. استفاده از MFA. ارسال لاگها به SIEM. پیادهسازی CSPM.
تکنیک اصلی
T1578Modify Cloud Compute Infrastructure
تغییر زیرساخت محاسباتی ابری
مهاجمان سرویسهای محاسباتی ابری را تغییر میدهند تا از دفاعها فرار کنند و شواهد را حذف کنند. این تکنیک شامل ایجاد snapshot، ایجاد یا حذف instanceهای ابری و revert کردن به snapshotهای قبلی میشود.
سایر زیرتکنیکها (1)