# DC0023 — Cloud Storage Modification ## Descrição Cloud Storage Modification captura alterações feitas à infraestrutura de armazenamento em nuvem, incluindo atualizações de configurações, permissões, políticas de acesso ou dados armazenados. Exemplos incluem a modificação de ACLs de objetos, upload de novos objetos, atualização de políticas de bucket, alteração de configurações de criptografia e mudanças em regras de ciclo de vida. Adversários podem modificar permissões de storage para tornar buckets privados públicamente acessíveis (exposição de dados), alterar políticas de replicação para exfiltrar dados para contas externas, ou sobrescrever objetos legítimos com versões maliciosas. A modificação de políticas de bucket para remover requisitos de MFA antes de exclusão é um indicador crítico de preparação para ataque destrutivo. Alterações em políticas de acesso (bucket policies, IAM policies, ACLs) devem ser monitoradas com prioridade alta, especialmente modificações que concedem acesso público (`"Principal": "*"`) ou cross-account a contas desconhecidas. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | S3 / CloudTrail | `PutBucketPolicy`, `PutBucketAcl`, `PutObject`, `PutBucketLifecycle` | | Azure | Blob Storage / Activity Log | `Microsoft.Storage/storageAccounts/blobServices/containers/write` | | GCP | Cloud Storage / Audit | `storage.buckets.updaté`, `storage.objects.updaté`, `storage.setIamPermissions` | | AWS | CloudTrail | `eventName: PutBucketPolicy` com `requestParameters.bucketPolicy` | | Azure | Azure Monitor | `operationName: Set Blob Service Properties`, `status: Succeeded` | ## Queries de Detecção **KQL — Azure Monitor (modificação de permissões de storage para acesso público):** ```kql StorageBlobLogs | where OperationName == "SetContainerAcl" or OperationName == "Set Blob Service Properties" | where StatusText == "Success" | project TimeGenerated, CallerIpAddress, Uri, AuthenticationType, AccountName | order by TimeGenerated desc ``` ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — acesso a dados após modificação de permissões - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — modificações na infraestrutura de nuvem - [[dc0025-cloud-storage-access|DC0025 — Cloud Storage Access]] — acesso após modificação de permissões - [[dc0022-cloud-storage-deletion|DC0022 — Cloud Storage Deletion]] — deleção pós-modificação - [[dc0027-cloud-storage-metadata|DC0027 — Cloud Storage Metadata]] — metadados alterados nas modificações - [[ds0010-cloud-storage|DS0010 — Cloud Storage]] — fonte de dados pai deste componente ## Contexto LATAM > [!warning] Exposição de Buckets no Brasil > Modificações acidentais ou maliciosas de políticas de acesso continuam sendo causa frequente de vazamentos de dados no Brasil. Buckets S3 na região **AWS sa-east-1** com configurações públicas incorretas já expuseram dados de clientes de bancos digitais, operadoras e varejistas brasileiros. A **LGPD** responsabiliza controladores e operadores por acesso não autorizado decorrente de falhas de configuração — monitorar modificações de permissão é uma obrigação de segurança e conformidade. ## Referências - [MITRE ATT&CK — DC0023 Cloud Storage Modification](https://attack.mitre.org/datacomponents/DC0023) - [MITRE ATT&CK — T1530 Data from Cloud Storage](https://attack.mitre.org/techniques/T1530/) - [AWS — S3 Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) - [Azure — Storage Account Security](https://learn.microsoft.com/en-us/azure/storage/common/storage-security-guide)