云账户

对手可能会创建云账户以保持对受害者系统的访问。具有足够访问权限的此类账户可用于建立不需要在系统上部署持久远程访问工具的次要凭据访问。(引用: Microsoft O365 Admin Roles)(引用: Microsoft Support O365 Add Another Admin, October 2019)(引用: AWS Create IAM User)(引用: GCP Create Cloud Identity Users)(引用: Microsoft Azure AD Users) 除了用户账户外，云账户还可能与服务相关联。云提供商以不同方式处理服务账户的概念。在Azure中，服务账户包括服务主体和托管身份，可以链接到各种资源，如OAuth应用程序、无服务器函数和虚拟机，以授予这些资源在环境中执行各种活动的权限。(引用: Microsoft Entra ID Service Principals) 在GCP中，服务账户也可以链接到特定资源，并且可以被其他账户模拟以进行临时提升的云访问。(引用: GCP Service Accounts) 虽然AWS没有特定的服务账户概念，但资源可以直接授予权限以承担角色。(引用: AWS Instance Profiles)(引用: AWS Lambda Execution Role) 对手可能会创建仅有权访问特定云服务的账户，从而减少被检测的机会。 一旦对手创建了云账户，他们可以操纵该账户以确保持久性并允许访问其他资源——例如，通过添加额外的云凭据或分配额外的云角色。