briwandt/cloud-persistence-techniques

# 云持久化技术研究实验室 ## 概述 本项目探讨了威胁行为者在 Microsoft Entra ID (Azure)、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 中使用的云持久化技术。 与依赖恶意软件或端点修改的传统持久化机制不同，云持久化通常利用合法的身份和访问管理 (IAM) 功能，例如应用程序注册、服务账号、访问密钥、信任关系和 OAuth 权限。 本项目的目标是了解攻击者如何在云环境中建立持久化，以及防御者如何检测和调查这些活动。 ## 目标 * 研究云身份持久化机制 * 将持久化技术映射到 MITRE ATT&CK * 识别检测机会 * 记录云原生攻击路径 * 开发云威胁狩猎知识 * 了解跨主要云提供商的基于身份的持久化 ## 涵盖的云平台 ### Microsoft Entra ID 主题： * 应用程序注册 * 客户端密钥 * OAuth 权限 * Microsoft Graph 访问 * Refresh Token 滥用 * 管理员同意授权 ### Amazon Web Services (AWS) 主题： * IAM 用户持久化 * 访问密钥滥用 * 信任策略操纵 * Lambda 持久化 * 跨账号访问 ### Google Cloud Platform (GCP) 主题： * 服务账号滥用 * 服务账号密钥 * IAM 角色操纵 * Cloud Function 持久化 * OAuth 应用程序滥用 ## 仓库结构 ``` cloud-persistence-techniques/ ├── README.md ├── screenshots/ ├── docs/ │ ├── azure-persistence.md │ ├── aws-persistence.md │ ├── gcp-persistence.md │ ├── detection-guide.md │ └── threat-research-notes.md └── detections/ ``` ## MITRE ATT&CK 覆盖范围 | 技术 | ATT&CK ID | | ------------------------------------- | --------- | | 账号操纵 | T1098 | | 有效账号 | T1078 | | 创建云账号 | T1136.003 | | 云服务发现 | T1526 | | 账号发现 | T1087 | | Serverless 执行 | T1505.003 | | 窃取应用程序访问令牌 | T1528 | | 使用备用身份验证材料 | T1550 | ## MITRE ATT&CK 映射 本研究将常见的云持久化机制映射到在云和针对身份的入侵事件中经常观察到的 MITRE ATT&CK 技术。  ## 检测重点领域 本项目记录了以下方面的检测机会： * 新的应用程序注册 * 客户端密钥创建 * OAuth 同意授权 * IAM 用户创建 * 访问密钥生成 * 信任策略修改 * 服务账号创建 * 服务账号密钥生成 * Serverless 函数部署 * 特权角色分配 ## 截图 ### 应用注册概述  ### 客户端密钥创建  ### Graph 委托权限  ### API 权限  ### 已授予管理员同意  ## 架构图  ## 关键研究发现 云持久化与传统持久化不同，因为攻击者经常滥用合法的身份和访问管理功能，而不是部署恶意软件。 身份系统已成为现代云环境中最重要的攻击面之一。了解应用程序注册、OAuth 权限、服务账号、访问密钥和信任关系对于有效的威胁检测和事件响应至关重要。 ## 展现的技能 * 身份与访问管理 (IAM) * OAuth 2.0 * OpenID Connect (OIDC) * JWT 分析 * Microsoft Entra ID * AWS IAM * GCP IAM * 云安全 * 威胁狩猎 * 威胁情报 * MITRE ATT&CK 映射 * 检测工程 ## 作者 Brianna Wandt 云安全 | 身份安全 | 威胁情报 | 威胁研究

标签：AMSI绕过, Cloudflare, MITRE ATT&CK, 威胁检测, 身份与访问管理