影子组织账户创建(Shadow Organization Account Creation)是攻击者在云基础设施中构建隐蔽控制节点的关键手段。该技术利用云服务商的组织管理接口(如AWS Organizations或Azure Management Groups),通过合法API调用创建新的子账户或订阅,并继承主账户的支付凭证与权限体系。攻击者通过精细控制新账户的资源配额与活动频率,使其在云服务商的计费审计与安全监控中呈现正常业务账户特征,从而规避基于异常账户创建的检测机制。
该技术的匿迹性体现在对云服务固有特性的深度利用。攻击者首先通过已控高权限账户(如Global Administrator)调用标准API(如AWS CreateAccount),在目标组织内生成符合云平台规范的新账户,确保账户元数据(创建时间、区域分布等)与正常业务扩展行为一致。其次,通过限制新账户的初始操作范围(如仅部署低资源消耗服务),避免触发基于资源突增的异常检测。技术实施过程中注重权限继承关系的隐蔽配置,使新账户继承主账户的安全策略但规避关键监控策略,同时利用云服务商的多租户特性将恶意操作分散至不同管理边界。最终形成的影子账户具备合法身份凭证、合规资源配比与低风险行为模式三重特性,能够长期潜伏于云资源层次结构中。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon