AWS の管理コンソールの文書化されていない API により、攻撃者が検出できない監視チャネルを追加で使用できるようになった可能性があると、セキュリティ研究者は話している.
AWS は、警告を受けた後、2022 年 10 月に静かに優先順位を上げた2022 年 3 月の Datadog による
API に遭遇した Datadog の研究者は、さらに AWS CloudTrail ロギングをバイパスすることに気付きました。
API は、ここに文書化されており、ID を主張し、管理 (IAM) 要求への評価エントリがログに記録されないことを意味します。
「この工夫により、攻撃者は AWS の回想録に足場を置いた後、CloudTrail に自分たちの行動のラベルを残さずに、IAM キャリア内で偵察活動を構成することができます」と、Datadog の上級セキュリティ研究者である Sever Frichette 書いた.
Datadog は、AWS を閲覧しながらブラウザ開発者のツール内で接続リクエストを監視することで、「iamadmin」と呼ばれる API に出会いました。管理コンソール.
そこから、研究者はiamadminでさらに呼び出す13のシステムに出会い、近隣のポリシーとユーザー数のリスト、ユーザーのリストなどを可能にしました.
「CloudTrail のログ記録をバイパスし、これらの呼び出しの意味を取得する状況にあることは、防御側にとって深刻な意味を持ちます。その記憶によれば、追跡する能力が制限されます。
「さらに、この工夫により、IAMUser/AnomalousBehavior に匹敵する発見のために GuardDuty をバイパスすることも想像できるようになります。 、GuardDuty の回顧録では、CloudTrail をデータ提供として使用し、覗き見できないものについては警告しません。」
