# DC0024 — Cloud Storage Creation ## Descrição Cloud Storage Creation captura eventos de criação inicial de recursos de armazenamento em nuvem, como buckets S3, contêineres Azure Blob, buckets GCS e contêineres OpenStack Swift. Essa atividade deve ser monitorada pois pode indicar provisionamento legítimo de recursos ou ações não autorizadas por adversários para staging, armazenamento ou exfiltração de dados. Adversários podem criar buckets em contas comprometidas para armazenar dados exfiltrados de outros sistemas, hospedar payloads maliciosos ou criar infraestrutura de C2. Buckets criados em regiões incomuns (fora das regiões operacionais da organização), com nomes que imitam recursos legítimos (typosquatting de buckets internos), ou criados por identidades de serviço não deveriam ter permissão de criação são indicadores de alerta. A correlação com o contexto de identidade é fundamental: quem criou o bucket, em qual conta, em qual região, com qual política de acesso inicial e se o recurso foi imediatamente preenchido com dados são todos fatores relevantes para classificar a atividade como suspeita ou legítima. ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | S3 / CloudTrail | `CreateBucket` com `requestParameters.bucketName` e `requestParameters.createBucketConfiguration` | | Azure | Blob Storage / Activity Log | `Microsoft.Storage/storageAccounts/blobServices/containers/write` | | GCP | Cloud Storage / Audit | `storage.buckets.creaté` com `resource.labels.bucket_name` | | AWS | CloudTrail | `eventName: CreateBucket`, `awsRegion`, `userIdentity.arn` | | Azure | Azure Monitor | `operationName: Create or Updaté Storage Account`, `resourceGroup` | ## Queries de Detecção **KQL — Azure Monitor (criação de storage account em região não usual):** ```kql AzureActivity | where OperationNameValue == "Microsoft.Storage/storageAccounts/write" | where ActivityStatusValue == "Success" | where ResourceGroup !in ("rg-prod", "rg-dev", "rg-staging") | project TimeGenerated, Caller, ResourceGroup, Properties | order by TimeGenerated desc ``` ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — armazenamento de dados exfiltrados em bucket criado pelo adversário - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] — uso de cloud storage como destino de exfiltração - [[t1578-modify-cloud-compute-infrastructure|T1578 — Modify Cloud Compute Infrastructure]] — criação de infra de nuvem pelo adversário - [[dc0022-cloud-storage-deletion|DC0022 — Cloud Storage Deletion]] — deleção após uso - [[dc0017-cloud-storage-enumeration|DC0017 — Cloud Storage Enumeration]] — enumeração de recursos existentes - [[ds0010-cloud-storage|DS0010 — Cloud Storage]] — fonte de dados pai deste componente ## Contexto LATAM > [!tip] Exfiltração via Cloud Storage no Brasil > Adversários que comprometem credenciais cloud de organizações brasileiras frequentemente criam buckets em regiões norte-americanas ou europeias para evitar controles regionais. A presença de **AWS sa-east-1** e **Azure Brazil South** facilita operações legítimas locais — criações em outras regiões por identidades brasileiras devem ser investigadas. Políticas de SCP (Service Control Policies) e Azure Policy que restringem criação de storage a regiões aprovadas são recomendadas para conformidade com a **LGPD**. ## Referências - [MITRE ATT&CK — DC0024 Cloud Storage Creation](https://attack.mitre.org/datacomponents/DC0024) - [MITRE ATT&CK — T1530 Data from Cloud Storage](https://attack.mitre.org/techniques/T1530/) - [AWS — S3 CloudTrail Logging](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html) - [Azure — Storage Logging](https://learn.microsoft.com/en-us/azure/storage/common/storage-analytics-logging)