云服务发现

攻击者在获得访问权限后，可能会尝试枚举系统上运行的云服务。这些方法可能因平台即服务（PaaS）、基础设施即服务（IaaS）或软件即服务（SaaS）而有所不同。各种云提供商中存在许多服务，包括持续集成和持续交付（CI/CD）、Lambda函数、Entra ID等。还可能包括安全服务，如AWS GuardDuty和Microsoft Defender for Cloud，以及日志服务，如AWS CloudTrail和Google Cloud Audit Logs。 攻击者可能会尝试发现环境中启用的服务信息。Azure工具和API，如Microsoft Graph API和Azure Resource Manager API，可以枚举资源和服务，包括应用程序、管理组、资源和策略定义，以及身份可访问的关系。(引用: Azure - Resource Manager API)(引用: Azure AD Graph API) 例如，Stormspotter是一个用于枚举和构建Azure资源和服务图的开源工具，Pacu是一个支持多种云服务发现方法的开源AWS利用框架。(引用: Azure - Stormspotter)(引用: GitHub Pacu) 攻击者可能会利用获得的信息来塑造后续行为，例如从枚举的服务中获取数据或凭据，或通过禁用或修改工具或禁用或修改云日志来规避已识别的防御。