※内容改定あり
T1098
Account Manipulation
アカウント操作

アカウント操作は、環境内で資格情報へのアクセスと特定のアクセス許可レベルを維持する際に攻撃者を助ける可能性があります。操作には、アクセス許可の変更、資格情報の変更、アクセス許可グループの追加または変更、アカウント設定の変更、または認証の実行方法の変更が含まれます。これらのアクションには、侵害された資格情報の寿命を維持するために反復的にパスワード更新を実行することでパスワードの有効期間ポリシーが無駄となってしまう操作など、セキュリティポリシーを覆すように設計されたアカウントアクティビティも含まれます。アカウントを作成または操作するには、攻撃者がシステムまたはドメインに対する十分な権限をすでに持っている必要があります。

Exchange Email Account Takeover
Exchangeメールアカウントの乗っ取り

Add-MailboxPermission PowerShellコマンドレットは、オンプレミスのExchangeとクラウドベースのOffice 365で利用でき、メールボックスにアクセス許可を追加します。[1]このコマンドを実行すると、特定のユーザーアカウントにさらにアクセス許可を付与できます。これは、永続的な脅威インシデントや、攻撃者が侵害したいアカウントにさらに多くのアクセス権を割り当てることができるBEC(Business Email Compromise)インシデントで使用される可能性があります。これにより、さらにシステムにアクセスするための追加のテクニックを使用できるようになる可能性があります。たとえば、侵害されたビジネスアカウントは、多くの場合、メッセージがスパム/フィッシング検出メカニズムを回避するような受信トレイのルールを作成し、ターゲット企業のネットワーク内の他のアカウントにメッセージを送信することに使用されます。[2]

Azure AD

Azureでは、攻撃者はService Principalsに第2のパスワードを設定することができ、永続化を容易にします。[3]

AWS

AWSのポリシーでは、アカウント名を識別するだけで、アカウント間の信頼が可能になります。正しいロールのみがアクセスできるようにするかは、信頼されたアカウント次第です。[4]

翻訳原文:Last Modified: 23 October 2019