修改云资源层次结构

Sub-techniques (3)

ID	Name
T1666.001	影子组织账户创建
T1666.002	订阅劫持转移
T1666.003	策略隔离逃逸

修改云资源层次结构是攻击者为规避云环境安全控制而实施的权限维持技术，通过调整资源组织关系（如账户、订阅、管理组）解除安全策略约束或转移资源控制权。防御方通常采用服务控制策略（SCP）实施权限最小化、监控管理API调用日志、以及配置变更审计等手段进行防护。多因素认证和资源层次结构冻结机制也被用于防止未授权修改。

为对抗基于策略继承分析和资源关系图谱的检测体系，攻击者发展出多维度隐蔽技术，通过云服务原生功能的滥用、合法业务流程的模拟以及资源控制权的渐进转移，将恶意层次结构调整伪装成常规管理操作，实现"形似合规、实为逃逸"的攻击效果。

当前云资源层次结构修改技术的匿迹共性体现在"权限流伪装"与"资源关系重构"两个层面。攻击者通过云平台标准管理接口实施操作，确保行为在协议层面符合服务商规范：影子账户创建利用组织扩展的正常业务流程掩盖恶意节点的植入；订阅劫持转移模仿企业并购场景的订阅迁移模式；策略隔离逃逸则通过微调资源隶属关系实现策略约束的精准解除。三类技术的协同使用可构建多层次隐匿架构——底层影子账户提供操作载体，中层订阅转移切断审计关联，上层策略逃逸解除安全约束。技术实施过程中严格遵循云平台的最佳实践指南（如分阶段创建资源、维持资源配比合理性），使得异常检测引擎难以区分正常管理行为与恶意逃逸操作。

匿迹技术的演进导致传统基于API日志特征匹配的防御机制面临失效风险，防御方需构建资源关系图谱实时分析能力，结合订阅生命周期监控与跨租户行为关联分析，并引入基于策略影响度量的异常变更评估模型，才能有效识别隐蔽的资源层次结构篡改行为。

ID: T1666

Sub-techniques: T1666.001, T1666.002, T1666.003

ⓘ

Tactic: 防御规避

ⓘ

Platforms: IaaS

Version: 1.0

Created: 25 September 2024

Last Modified: 25 September 2024

匿迹效应

效应类型	是否存在
特征伪装	✅
行为透明	✅
数据遮蔽	❌
时空释痕	✅

特征伪装

攻击者通过严格遵循云服务商API规范实施层次结构修改操作，将恶意行为特征融入日常管理流量。例如使用标准SDK发起API调用、模拟合法资源重组工作流，使得操作日志在请求参数、调用频率等方面与正常管理行为无异，规避基于协议异常或非常规接口使用的检测规则。

行为透明

技术实施过程中大量利用云平台特权滥用漏洞（如全局管理员权限逃逸）或未公开的订阅迁移接口，使得防御方缺乏有效检测手段。例如在订阅劫持过程中，攻击者利用服务商未公开的租户关联API实现控制权转移，传统基于公开文档的防御策略无法覆盖此类隐蔽攻击面。

时空释痕

攻击者采用长周期渐进式修改策略，将资源层次结构调整任务分解为多个低敏感操作（如每月创建1个影子账户、季度性微调策略组）。通过将攻击特征稀释在云环境常态化的资源变更中，规避基于短周期高频次变更的检测模型，同时利用云服务商默认的日志滚动覆盖机制消除历史操作痕迹。

Mitigations

ID	Mitigation	Description
M1047	Audit	Periodically audit resource groups in the cloud management console to ensure that only expected items exist, especially close to the top of the hierarchy (e.g., AWS accounts and Azure subscriptions). Typically, top-level accounts (such as the AWS management account) should not contain any workloads or resources.^[1]
M1054	Software Configuration	In Azure environments, consider setting a policy to block subscription transfers.^[2] In AWS environments, consider using Service Control Policies to prevent the use of the `LeaveOrganization` API call.^[3]
M1018	User Account Management	Limit permissions to add, delete, or modify resource groups to only those required.

Detection

ID	Data Source	Data Component	Detects
DS0025	Cloud Service	Cloud Service Modification	Monitor for changes to resource groups, such as creating new resource groups or leaving top-level management groups. In Azure environments, monitor for changes to subscriptions.^[4] In AWS environments, monitor for API calls such as `CreateAccount` or `LeaveOrganization`.^[3]