# DC0025 — Cloud Storage Access ## Descrição Cloud Storage Access captura eventos de recuperação e interação com dados armazenados em infraestrutura de nuvem. Inclui operações de leitura, download e acesso a arquivos e objetos em sistemas de armazenamento cloud. É um dos componentes de dados mais críticos para detectar exfiltração de dados, pois documenta quais objetos foram acessados, por quem, quando e de onde. A técnica [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] é diretamente detectada por este componente. Adversários que obtêm credenciais cloud válidas (via phishing, SSRF, metadata service abuse) frequentemente acessam buckets S3, contêineres Azure Blob ou buckets GCS para exfiltrar dados sensíveis como backups de banco de dados, credenciais, chaves privadas, dados de clientes e propriedade intelectual. Credenciais armazenadas em buckets S3 sem criptografia também ativam [[t1552-unsecured-credentials|T1552]]. Indicadores de acesso malicioso: volume anormalmente alto de GetObject em curto período, acesso por endereços IP externos não conhecidos, acesso via credenciais temporárias (STS) emitidas para workloads não esperadas, acesso a objetos específicos de alta sensibilidade (backups, arquivos .env, dumps de banco). ## Telemetria | Provedor | Serviço | Evento / Operação | |---------|---------|-------------------| | AWS | S3 / CloudTrail | `GetObject`, `HeadObject`, `GetBucketAcl`, `GetBucketPolicy` | | Azure | Blob Storage / Storage Logs | `GetBlob`, `GetBlobProperties`, `Get Blob Service Properties` | | GCP | Cloud Storage / Audit | `storage.objects.get`, `storage.buckets.get` | | AWS | S3 Access Logs | `REST.GET.OBJECT` com `Requester`, `Key`, `HTTPStatus` | | Azure | Azure Monitor | `operationName: Get Blob`, `callerIpAddress`, `uri` | ## Queries de Detecção **KQL — Azure Monitor (download massivo de blobs por IP externo):** ```kql StorageBlobLogs | where OperationName == "GetBlob" | where StatusText == "Success" | summarize bytes_downloaded=sum(ResponseBodySize), operations=count() by CallerIpAddress, bin(TimeGenerated, 1h) | where bytes_downloaded > 104857600 // 100MB | project TimeGenerated, CallerIpAddress, bytes_downloaded, operations | order by bytes_downloaded desc ``` ## Técnicas Relacionadas - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] — exfiltração direta via acesso ao storage - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] — enumeração que precede o acesso - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] — credenciais expostas em objetos acessados - [[dc0017-cloud-storage-enumeration|DC0017 — Cloud Storage Enumeration]] — enumeração prévia ao acesso - [[dc0027-cloud-storage-metadata|DC0027 — Cloud Storage Metadata]] — metadados dos objetos acessados - [[ds0010-cloud-storage|DS0010 — Cloud Storage]] — fonte de dados pai deste componente ## Contexto LATAM > [!danger] Exfiltração via S3/Blob no Brasil > Incidentes de exfiltração via acesso indevido a cloud storage são frequentes no setor financeiro brasileiro. Vazamentos de backups de banco de dados, arquivos de configuração com credenciais e dados de clientes via buckets S3 mal protegidos afetaram fintechs e varejistas na região **AWS sa-east-1**. A **LGPD** impõe notificação obrigatória à ANPD e aos titulares em caso de acesso não autorizado a dados pessoais — logging detalhado de acesso ao storage é pré-requisito para investigação e conformidade. ## Referências - [MITRE ATT&CK — DC0025 Cloud Storage Access](https://attack.mitre.org/datacomponents/DC0025) - [MITRE ATT&CK — T1530 Data from Cloud Storage](https://attack.mitre.org/techniques/T1530/) - [AWS — S3 Server Access Logging](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html) - [Azure — Monitor Storage with Azure Monitor](https://learn.microsoft.com/en-us/azure/storage/common/monitor-storage)