Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Create Account: Cloud Account

Other sub-techniques of Create Account (3)

ID	Name
.001	Local Account
.002	Domain Account
.003	Cloud Account

Adversaries may create a cloud account to maintain access to victim systems. With a sufficient level of access, such accounts may be used to establish secondary credentialed access that does not require persistent remote access tools to be deployed on the system.(Citation: Microsoft O365 Admin Roles)(Citation: Microsoft Support O365 Add Another Admin, October 2019)(Citation: AWS Create IAM User)(Citation: GCP Create Cloud Identity Users)(Citation: Microsoft Azure AD Users) Adversaries may create accounts that only have access to specific cloud services, which can reduce the chance of detection.

ID: T1136.003

Sub-technique of: T1136

Tactic(s): Persistence

Platforms: Azure AD, Google Workspace, IaaS, Office 365, SaaS

Data Sources: User Account: User Account Creation

Version: 1.2

Created: 29 Jan 2020

Last Modified: 07 Apr 2022

Name	Description
Procedure Examples
APT29	APT29 can create new users through Azure AD.(Citation: MSTIC Nobelium Oct 2021)
LAPSUS$	LAPSUS$ has created global admin accounts in the targeted organization's cloud instances to gain persistence.(Citation: MSTIC DEV-0537 Mar 2022)
AADInternals	AADInternals can create new Azure AD users.(Citation: AADInternals Documentation)

Mitigation	Description
Mitigations
Network Segmentation	Architect sections of the network to isolate critical systems, functions, or resources. Use physical and logical segmentation to prevent access to potentially sensitive systems and information. Use a DMZ to contain any internet-facing services that should not be exposed from the internal network. Configure separate virtual private cloud (VPC) instances to isolate critical cloud systems.
Multi-factor Authentication	Use two or more pieces of evidence to authenticate to a system; such as username and password in addition to a token from a physical smart card or token generator.
Privileged Account Management	Manage the creation, modification, use, and permissions associated to privileged accounts, including SYSTEM and root.

Detection

Collect usage logs from cloud user and administrator accounts to identify unusual activity in the creation of new accounts and assignment of roles to those accounts. Monitor for accounts assigned to admin roles that go over a certain threshold of known admins.

References

Связанные риски

Риск	Связи
Закрепление злоумышленника в ОС из-за возможности создания учетной записи в ОС Windows Повышение привилегий НСД
Закрепление злоумышленника в ОС из-за возможности создания учетной записи в ОС Linux Повышение привилегий НСД	1
Закрепление злоумышленника в домене из-за возможности создания учетной записи в доменных службах Active Directory Повышение привилегий Целостность НСД
Закрепление злоумышленника в облачной инфраструктуре из-за возможности создания учетной записи в облачном сервисе НСД

Каталоги

Техники ATT&CK:

T1136.001 Create Account: Local Account

T1136.002 Create Account: Domain Account

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.