动态凭证轮换(Dynamic Credential Rotation)是通过持续变更身份凭证实现持久化资源发现的隐匿技术。攻击者利用云服务商提供的短期访问令牌机制(如AWS STS或Azure Managed Identity),在每次执行kubectl describe services等发现命令前,通过OAuth 2.0设备代码流获取新访问凭证,确保单次操作凭证的有效期短于防御系统的响应处置周期。
该技术的核心匿迹思路在于打破凭证与攻击行为的固定关联。攻击链构建分为三个阶段:首先,通过初始入侵获取具有IAM角色分配权限的凭据;其次,创建自动化的凭证生成工作流,将资源发现任务与临时令牌生命周期绑定;最后,利用服务账户的跨命名空间访问权限,在多个集群间轮换执行探测操作。由于每次API调用均使用不同身份且凭证即时失效,基于凭证指纹的威胁狩猎方案将无法有效追踪攻击者的资源发现行为。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon