修改云资源层次结构

对手可能会尝试修改基础设施即服务（IaaS）环境中的层次结构，以规避防御措施。 IaaS环境通常将资源分组为层次结构，从而改进资源管理并将策略应用于相关组。不同的云提供商的层次结构不同。例如，在AWS环境中，可以将多个帐户分组到一个组织中，而在Azure环境中，可以将多个订阅分组到一个管理组中。(引用: AWS Organizations)(引用: Microsoft Azure Resources) 对手可能会添加、删除或以其他方式修改IaaS层次结构中的资源组。例如，在Azure环境中，获得全局管理员帐户访问权限的对手可能会创建新的订阅以部署资源。他们还可能通过将现有的按需付费订阅从受害者租户转移到对手控制的租户来进行订阅劫持。这将允许对手使用受害者的计算资源，而不会在受害者租户上生成日志。(引用: Microsoft Peach Sandstorm 2023)(引用: Microsoft Subscription Hijacking 2022) 在AWS环境中，具有适当权限的对手可以调用LeaveOrganization API，从而使帐户与其所属的AWS组织断开连接，并删除其前组织施加的任何服务控制策略、护栏或限制。或者，对手可以调用CreateAccount API，以便在AWS组织中创建一个新帐户。该帐户将使用注册到付款帐户的相同付款方式，但可能不受现有检测或服务控制策略的约束。(引用: AWS RE:Inforce Threat Detection 2024)