# DS0025 — Cloud Service ## Descrição Serviços de nuvem abrangem toda a infraestrutura, plataformas e softwares hospedados localmente ou por provedores terceirizados e disponibilizados via conexões de rede e/ou APIs. Esta fonte de dados cobre um espectro amplo: desde infraestrutura IaaS (AWS EC2, Azure VMs, GCP Compute), passando por plataformas de produtividade SaaS (Microsoft 365, Google Workspace), até provedores de identidade como Azure AD (Entra ID) e Okta. A onipresença dos serviços de nuvem no ambiente corporativo moderno torna esta fonte de dados particularmente crítica. Adversários exploram serviços de nuvem tanto como alvo (comprometimento de contas, exfiltração de dados) quanto como plataforma para lançamento de ataques (C2 via serviços legítimos, abuso de storage público, exploração de misconfigurações IAM). O Brasil registra crescimento acelerado em adoção de nuvem — com AWS e Azure dominando o mercado corporativo — aumentando proporcionalmente a superfície de ataque exposta. No contexto de ameaças LATAM, grupos de ameaças como [[g0032-lazarus-group]] e actores de crime organizado têm abusado de serviços de nuvem para exfiltração de dados financeiros, abuso de serviços de e-mail para phishing em escala e exploração de buckets S3/Blob Storage mal configurados para expor dados de clientes. ## Pipeline de Coleta ```mermaid graph TB A["☁️ Provedores de Nuvem<br/>AWS · Azure · GCP · M365"] --> B["📋 APIs de Auditoria<br/>CloudTrail · Activity Log<br/>Unified Audit Log"] B --> C["🔍 Serviços de Detecção<br/>GuardDuty · Defender for Cloud<br/>Security Command Center"] B --> D["⚙️ Gestão de Configuração<br/>AWS Config · Azure Policy<br/>Drift de postura IAM"] C --> E["📦 Agregador / SIEM<br/>Sentinel · Splunk · Elastic"] D --> E E --> F["🚨 Alertas de Segurança<br/>IAM anômalo · Logs desabilitados<br/>Storage público · IMDS abuse"] ``` ## Componentes de Dados | Componente | ID MITRE | Descrição | Plataformas | |-----------|----------|-----------|------------| | Cloud Service Enumeration | — | Listagem de serviços disponíveis (reconhecimento) | AWS, Azure, GCP | | Cloud Service Modification | — | Alteração de configurações de serviços (misconfiguration, backdoor) | Todos | | Cloud Service Disable | — | Desabilitação de serviços de segurança (GuardDuty, Defender, Logging) | AWS, Azure | | Cloud Service Metadata | — | Leitura de metadados de serviços (IMDS abuse — Instance Metadata Service) | IaaS | > Nota: Os Data Components específicos de Cloud Service são referênciados nos data-components de [[dc0019-pod-creation|DC0019 — Pod Creation]], [[dc0076-instance-creation|DC0076 — Instance Creation]] e similares dentro da categoria `defenses/detections/data-components/cloud/`. ## Como Coletar ### AWS ``` Fontes primárias: 1. AWS CloudTrail — auditoria de todas as chamadas de API Eventos críticos: StopLogging → desabilitação de auditoria (crítico!) DeleteTrail → remoção de trilha de auditoria CreateAccessKey → criação de chave de acesso IAM AttachUserPolicy → escalação de privilégio IAM GetSecretValue → acesso a segredos no Secrets Manager CreateBucket + PutBucketPolicy → exposição pública de S3 2. AWS Config — drift de configuração Regras recomendadas: cloudtrail-enabled s3-bucket-public-read-prohibited iam-root-access-key-check restricted-ssh, restricted-common-ports 3. AWS GuardDuty — detecção de ameaças gerenciada Findings relevantes: Recon:IAMUser/MaliciousIPCaller Persistence:IAMUser/UserPermissions Exfiltration:S3/ObjectRead.Unusual ``` ### Azure / Microsoft 365 ``` Fontes primárias: 1. Azure Activity Log — operações no plano de controle Operações críticas: Microsoft.Authorization/roleAssignments/write → RBAC escalation Microsoft.KeyVault/vaults/secrets/read → acesso a segredos Microsoft.Security/*/disable → desabilitação de Defender 2. Azure AD (Entra ID) Sign-in Logs + Audit Logs Eventos críticos: Eventos de logon com IP fora do padrão Criação de service principals suspeitos Modificações de Conditional Access Policies 3. Microsoft 365 Unified Audit Log Eventos críticos: MailItemsAccessed → acesso a caixas de e-mail (coleta) FileDownloaded → exfiltração via SharePoint/OneDrive Add-MailboxPermission → adição de delegação de caixa New-InboxRule → regra de encaminhamento de e-mail (BEC) 4. Microsoft Sentinel — SIEM nativo Recomendado para correlação de eventos M365 + Azure AD ``` ### Google Cloud / Google Workspace ``` Fontes primárias: 1. Cloud Audit Logs (Admin Activity + Data Access) Métodos críticos: iam.serviceAccounts.creaté storage.buckets.setIamPolicy → exposição pública de bucket logging.sinks.creaté → exfiltração de logs 2. Google Workspace Admin Audit Log Eventos: CHANGE_APPLICATION_SETTING → modificação de configurações DELEGATE_EMAIL_ACCESS → delegação de caixa de e-mail ADD_PRIVILEGE → escalação de privilégio em Workspace 3. Security Command Center — gestão de postura ``` ### Instance Metadata Service (IMDS) — Alerta Especial ```bash # O IMDS (169.254.169.254) expõe credenciais temporárias de instância # Adversários exploram SSRF para acessar IMDS e obter credenciais AWS/Azure # Monitorar chamadas ao IMDS a partir de processos não esperados: # AWS CloudTrail: filtrar por userAgent de processos suspeitos # event source: sts.amazonaws.com # eventName: AssumeRole com contexto de chamada incomum # AWS IMDSv2 (obrigatório) previne a maioria dos ataques SSRF via IMDS ``` ## Técnicas Detectadas | Técnica | Tática | Como DS0025 Detecta | |---------|--------|-------------------| | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | Defense Evasion / Persistence | Sign-in anomalies, impossible travel, uso de IP suspeito em login de serviço cloud | | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | Collection | Download massivo de arquivos de S3/Blob/Drive — alertas de GuardDuty/Defender | | [[t1562-008-disable-cloud-logs\|T1562.008 — Disable Cloud Logs]] | Defense Evasion | `StopLogging`, `DeleteTrail`, desabilitação de GuardDuty ou Defender for Cloud | | [[t1098-001-additional-cloud-credentials\|T1098.001 — Additional Cloud Credentials]] | Persistence | `CreateAccessKey` + `AttachUserPolicy` — criação de backdoor IAM | | [[t1552-007-container-api\|T1552.007 — Container API]] | Credential Access | Abuso de IMDS para roubo de credenciais de instância via SSRF | ## Gaps de Cobertura Brasil/LATAM > [!warning] Serviços de Nuvem: Superfície de Ataque Crescente com Monitoramento Imaturo > A adoção acelerada de nuvem no Brasil frequentemente supera a maturidade das equipes de segurança em monitorar ambientes cloud-native. **Gap 1 — CloudTrail / Activity Log não habilitado** Organizações com contas AWS criadas sem configuração de segurança adequada frequentemente não têm CloudTrail ativo ou têm trilhas configuradas apenas para uma região. Sem CloudTrail, não há auditoria de chamadas de API — o adversário pode operar indefinidamente sem deixar rastros. **Gap 2 — Unified Audit Log do M365 desabilitado** O Microsoft 365 Unified Audit Log não é habilitado por padrão em licenças mais antigas (E1/Business Basic). Incidentes de BEC (Business Email Compromise) — muito comuns no Brasil — frequentemente não são investigáveis por ausência desse log. **Gap 3 — Ausência de monitoramento de IAM anômalo** A criação de access keys, anexação de políticas administrativas ou criação de service principals suspeitos raramente geram alertas em tempo real. Muitas organizações LATAM descobrem comprometimento de IAM apenas semanas após o fato. **Gap 4 — S3/Blob Storage público não detectado** Buckets públicos acidentais são um problema endêmico. Sem AWS Config ou Azure Policy habilitados, misconfigurações de storage permanecem invisíveis por meses. **Gap 5 — IMDSv1 ainda em uso** Muitas instâncias EC2 em produção no Brasil ainda usam IMDSv1 (sem token obrigatório), mantendo a vulnerabilidade SSRF→IMDS→credential theft explorável. **Recomendações:** - Habilitar CloudTrail com organização trail em todas as regiões e armazenar em bucket segregado - Ativar AWS GuardDuty e Microsoft Defender for Cloud em todos os ambientes de produção - Habilitar M365 Unified Audit Log e reter por mínimo 90 dias (1 ano para investigação adequada) - Migrar instâncias EC2 para IMDSv2 obrigatório - Implementar AWS Config com regras gerenciadas de CIS Benchmark ## Referências - [[dc0076-instance-creation|DC0076 — Instance Creation]] - [[dc0019-pod-creation|DC0019 — Pod Creation]] - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1562-008-disable-cloud-logs|T1562.008 — Disable Cloud Logs]] - [[t1098-001-additional-cloud-credentials|T1098.001 — Additional Cloud Credentials]] - [[g0032-lazarus-group|Lazarus Group]] - [MITRE ATT&CK — DS0025 Cloud Service](https://attack.mitre.org/datasources/DS0025/) - [AWS Security Hub — CIS Benchmark](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html)