s1091-pacu - RunkIntel

# Pacu > Tipo: **tool** · S1091 · [MITRE ATT&CK](https://attack.mitre.org/software/S1091) ## Descrição Pacu é um framework open source de exploração de ambientes AWS, desenvolvido pela Rhino Security Labs e disponível públicamente no GitHub. Foi projetado para red teams e pentesters realizarem avaliações de segurança de infraestruturas AWS, fornecendo módulos para descoberta de recursos, escalada de privilégios, persistência, exfiltração de dados e evasão de logs em ambientes de nuvem. Em contexto malicioso, Pacu oferece a atores de ameaça um conjunto completo de ferramentas para exploração pós-comprometimento de ambientes AWS: enumerar buckets S3 e dados armazenados, descobrir credenciais IAM expostas, desabilitar CloudTrail e GuardDuty para cobrir rastros, escalar privilégios via misconfigurações de políticas IAM, criar backdoors com novas chaves de acesso, e executar funções Lambda para persistência serverless. A ferramenta automatiza o que seria um processo manual demorado, permitindo que operadores com conhecimento básico de AWS executem ataques sofisticados. Pacu é particularmente relevante no contexto de crescente adoção de AWS por empresas brasileiras. Sua modularidade permite execução seletiva de módulos específicos conforme o objetivo da operação, e sua capacidade de desabilitar logs é especialmente perigosa em ambientes sem redundância de logging para fora do ambiente comprometido. **Plataformas:** IaaS ## Técnicas Utilizadas - [[t1648-serverless-execution|T1648 - Serverless Execution]] - [[t1562-008-disable-or-modify-cloud-logs|T1562.008 - Disable or Modify Cloud Logs]] - [[t1619-cloud-storage-object-discovery|T1619 - Cloud Storage Object Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1654-log-enumeration|T1654 - Log Enumeration]] - [[t1526-cloud-service-discovery|T1526 - Cloud Service Discovery]] - [[t1552-unsecured-credentials|T1552 - Unsecured Credentials]] - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] - [[t1069-003-cloud-groups|T1069.003 - Cloud Groups]] - [[t1098-001-additional-cloud-credentials|T1098.001 - Additional Cloud Credentials]] - [[t1562-007-disable-or-modify-cloud-firewall|T1562.007 - Disable or Modify Cloud Firewall]] - [[t1555-006-cloud-secrets-management-stores|T1555.006 - Cloud Secrets Management Stores]] - [[t1580-cloud-infrastructure-discovery|T1580 - Cloud Infrastructure Discovery]] - [[t1059-009-cloud-api|T1059.009 - Cloud API]] - [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] ## Detecção **Fontes de dados recomendadas:** - **AWS CloudTrail:** Sequência de chamadas API suspeitas em curto intervalo: `ListBuckets`, `GetBucketAcl`, `DescribeInstances`, `ListRoles` de uma única identidade IAM - padrão de varredura automatizada - **AWS GuardDuty:** Alerta `Recon:IAMUser/MaliciousIPCaller` ou `Recon:IAMUser/TorIPCaller` quando requisições partem de IPs conhecidos de atores de ameaça - **AWS CloudTrail:** `UpdateTrail` ou `DeleteTrail` após série de enumerações indica tentativa de cobrir rastros via desabilitação de logging **Regras de detecção:** - AWS Config Rules: Alerta para `cloudtrail-enabled` e `guardduty-enabled` - desabilitação é forte indicador de comprometimento - SIEM: Alerta em > 50 chamadas API únicas distintas de uma identidade IAM em < 5 minutos (padrão de scanner Pacu) ## Relevância LATAM/Brasil Com a crescente adoção de AWS por empresas brasileiras - especialmente no setor financeiro, startups de fintech e varejo digital - Pacu representa risco crescente para o ecossistema digital brasileiro. Em 2024-2025, incidentes de comprometimento de credenciais AWS via phishing e exposição de secrets em repositórios GitHub brasileiros resultaram em uso de ferramentas de exploração cloud como Pacu para maximizar o impacto. Organizações brasileiras que utilizam AWS para workloads críticos sem configuração adequada de CloudTrail multi-região, GuardDuty e SCPs são alvos prioritários. Times de segurança cloud no Brasil devem incluir simulações de Pacu em seus exercícios de red team. ## Referências - [MITRE ATT&CK - S1091](https://attack.mitre.org/software/S1091)