无服务器执行

攻击者可能滥用无服务器计算、集成和自动化服务在云环境中执行任意代码。许多云提供商提供各种无服务器资源，包括计算引擎、应用程序集成服务和Web服务器。 攻击者可能以各种方式滥用这些资源作为执行任意命令的手段。例如，攻击者可能使用无服务器函数执行恶意代码，例如加密挖矿恶意软件（即资源劫持）。(引用: Cado Security Denonia) 攻击者还可能创建能够进一步破坏云环境的函数。例如，攻击者可能使用AWS中的IAM:PassRole权限或Google Cloud中的iam.serviceAccounts.actAs权限向无服务器云函数添加额外的云角色，然后该函数可能能够执行原始用户无法执行的操作。(引用: Rhino Security Labs AWS权限提升)(引用: Rhingo Security Labs GCP权限提升) 无服务器函数还可以响应云事件（即事件触发执行）调用，可能在一段时间内实现持久执行。例如，在AWS环境中，攻击者可能创建一个Lambda函数，该函数在创建新用户时自动向用户添加额外的云凭据，并创建一个相应的CloudWatch事件规则，该规则在创建新用户时调用该函数。(引用: 入侵AWS帐户) 这在许多基于云的办公应用程序套件中也是可能的。例如，在Microsoft 365环境中，攻击者可能创建一个Power Automate工作流，该工作流在用户被授予访问SharePoint中的文档时转发用户收到的所有电子邮件或创建匿名共享链接。(引用: Varonis Power Automate数据外泄)(引用: Microsoft DART案例报告001) 在Google Workspace环境中，他们可能创建一个Apps Script，在用户打开文件时外泄用户的数据。(引用: Cloud Hack Tricks GWS Apps Script)(引用: OWN-CERT Google App Script 2024)