T1651
دستور مدیریت ابری
Cloud Administration Commandتوضیحات
مهاجمان از سرویسهای مدیریت ابری مانند AWS Systems Manager Agent یا Azure RunCommand برای اجرای دستورات در ماشینهای مجازی سوءاستفاده میکنند. این سرویسها برای مدیریت از راه دور طراحی شدهاند اما میتوانند برای اجرای کد مخرب استفاده شوند.
روشهای شناسایی
نظارت بر فعالیتهای سرویسهای مدیریت ابری. بررسی لاگهای CloudTrail و Azure Activity Log. شناسایی اجرای دستورات غیرعادی از طریق سرویسهای مدیریتی. تحلیل الگوهای دسترسی.
روشهای مقابله
محدود کردن دسترسی به سرویسهای مدیریت ابری. پیادهسازی احراز هویت چندعاملی. نظارت بر فعالیتهای مدیریتی. استفاده از IAM با حداقل سطح دسترسی. بررسی و تأیید دستورات اجرا شده.