附加云角色

对手可能会向对手控制的云帐户添加附加角色或权限，以保持对租户的持久访问。例如，对手可能会在基于云的环境中更新 IAM 策略，或在 Office 365 环境中添加新的全局管理员。(引用: AWS IAM Policies and Permissions)(引用: Google Cloud IAM Policies)(引用: Microsoft Support O365 Add Another Admin, October 2019)(引用: Microsoft O365 Admin Roles) 具有足够权限的情况下，受损帐户可以获得几乎无限的访问数据和设置的权限（包括重置其他管理员密码的能力）。(引用: Expel AWS Attacker) (引用: Microsoft O365 Admin Roles) 此帐户修改可能紧随创建帐户或其他恶意帐户活动之后。对手还可能修改他们已破坏的现有有效帐户。这可能导致权限提升，特别是如果添加的角色允许横向移动到其他帐户。 例如，在 AWS 环境中，具有适当权限的对手可能能够使用 CreatePolicyVersion API 定义 IAM 策略的新版本，或使用 AttachUserPolicy API 将具有附加或不同权限的 IAM 策略附加到受损用户帐户。(引用: Rhino Security Labs AWS Privilege Escalation) 在某些情况下，对手可能会向受害者云租户之外的对手控制的帐户添加角色。这允许这些外部帐户在受害者租户内执行操作，而无需对手创建帐户或修改受害者拥有的帐户。(引用: Invictus IR DangerDev 2024)