# DC0026 - Cloud Service Modification > [!info] Rastreia alterações em configurações e serviços cloud (AWS, Azure, GCP). Adversários modificam serviços para ampliar privilégios, desabilitar logging (CloudTrail, GuardDuty) e preparar infraestrutura para exfiltração. ## Descrição Cloud Service Modification rastreia alterações em configurações e serviços de plataformas cloud como AWS, Azure e GCP, incluindo modificações em IAM policies, configurações de storage, redes virtuais, funções serverless e serviços gerenciados. Adversários modificam serviços cloud para ampliar privilégios, criar backdoors persistentes, desabilitar controles de segurança (CloudTrail, GuardDuty, Security Center) e preparar infraestrutura para exfiltração de dados. É uma área crítica com a migração corporativa para cloud. ## Fonte de Dados Parent: [[ds0025-cloud-service|DS0025 - Cloud Service]] ## Pipeline de Detecção ```mermaid graph TB A["☁️ CloudTrail / Activity Log<br/>Serviço Modificado"] --> B["🔍 Tipo de<br/>Modificação"] B --> C{"⚠️ Serviço<br/>de Segurança?"} C -->|CloudTrail Stop| D["🚨 Alerta P1<br/>Logging Desabilitado"] C -->|GuardDuty Disable| E["🚨 Alerta P1<br/>Detecção Desabilitada"] C -->|IAM Policy| F["🟧 Alerta P2<br/>Permissão Expandida"] C -->|Lambda Update| G{"🔍 Código<br/>Suspeito?"} G -->|Sim| H["🟧 Alerta P2<br/>Serverless Backdoor"] G -->|Não| I["✔️ Deploy<br/>Legítimo"] classDef p1 fill:#e74c3c,color:#ecf0f1 classDef p2 fill:#e67e22,color:#ecf0f1 classDef ok fill:#2ecc71,color:#2c3e50 classDef proc fill:#2c3e50,color:#ecf0f1 class D,E p1 class F,H p2 class I ok class A,B,C,G proc ``` ## O Que Monitorar - AWS CloudTrail: modificações em IAM policies, roles, usuários - AWS: `StopLogging` (CloudTrail), `DeleteTrail`, `DisableSecurityHub` - Azure Activity Log: modificações em RBAC, políticas, recursos críticos - GCP Audit Logs: modificações em IAM bindings, org policies - Desabilitação de serviços de logging e monitoramento - Modificações em regras de WAF, CDN ou load balancer - Alterações em configurações de autenticação (SSO, MFA policies) - Modificações em funções Lambda/Azure Functions com novos payloads ## Técnicas Detectadas | Técnica | ID | Como Detectar | |---------|-----|---------------| | Modify Cloud Compute Infrastructure | [[t1578-modify-cloud-compute-infrastructure\|T1578]] | Alterações em instâncias, imagens ou configurações de compute | | Domain Policy Modification | [[t1484-domain-policy-modification\|T1484]] | Modificações em políticas de organização cloud | | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Desabilitação de GuardDuty, Defender for Cloud, Security Hub | | Account Manipulation | [[t1098-account-manipulation\|T1098]] | Adição de políticas permissivas a roles ou usuários | | Transfer Data to Cloud Account | [[t1537-transfer-data-to-cloud-account\|T1537]] | Modificação de políticas de S3/Blob para acesso público | ## Implementação **AWS - alertas CloudTrail críticos:** ``` # Evento de desabilitação de CloudTrail { $.eventName = "StopLogging" || $.eventName = "DeleteTrail" } # Modificação de IAM policy { $.eventSource = "iam.amazonaws.com" && $.eventName = "PutUserPolicy" } ``` **Azure - Policy para detectar mudanças críticas:** Configurar Azure Monitor Alerts em `Microsoft.Authorization/roleAssignments/write` para roles privilegiadas. **GCP - monitorar via Cloud Audit Logs:** Habilitar `DATA_READ` e `DATA_WRITE` audit logs em todos os serviços críticos. **Ferramentas:** AWS Security Hub, Microsoft Defender for Cloud, GCP Security Command Center, Wiz, Orca Security, Lacework. ## Consultas KQL — Microsoft Sentinel / Defender ### Desabilitação de Serviços de Segurança AWS ```kql // DC0026 - Tentativa de desabilitar monitoramento e detecção AWS let security_disable_events = dynamic([ "StopLogging", // CloudTrail "DeleteTrail", // CloudTrail "DisableSecurityHub", // Security Hub "DisableImportFindingsForProduct", "DeleteDetector", // GuardDuty "DisassociateFromAdministratorAccount", "DeleteMembers" // GuardDuty ]); AWSCloudTrail | where TimeGenerated > ago(1d) | where EventName in~ (security_disable_events) | project TimeGenerated, EventName, EventSource, AwsRegion, UserIdentityArn, SourceIpAddress, UserAgent, ResponseElements | order by TimeGenerated desc ``` ### Política IAM com Permissões Altamente Permissivas ```kql // DC0026 - Política IAM com permissão wildcard (*:*) adicionada AWSCloudTrail | where TimeGenerated > ago(7d) | where EventName in~ ("PutUserPolicy", "PutRolePolicy", "CreatePolicy", "AttachUserPolicy") | where tostring(RequestParameters) has_any ( '"Action":"*"', '"Action":["*"]', '"Effect":"Allow","Action":"*"' ) | project TimeGenerated, EventName, AwsRegion, UserIdentityArn, TargetEntity = tostring(RequestParameters.userName), PolicyName = tostring(RequestParameters.policyName), SourceIpAddress | order by TimeGenerated desc ``` ## Contexto LATAM > [!latam] Relevância Regional > **Desabilitação de CloudTrail é o primeiro passo documentado em comprometimentos de contas AWS de empresas brasileiras.** Em incidentes investigados em 2024, adversários que comprometeram credenciais IAM de organizações brasileiras executaram `StopLogging` como primeiro comando — eliminando o rastro de suas ações. O Brasil tem adoção crescente de AWS e Azure, especialmente no setor financeiro (Open Finance) e saúde, criando superfície de ataque cloud relevante. A **ANPD** (regulador de proteção de dados brasileiro) considera a desabilitação de controles de segurança como agravante em investigações de incidentes LGPD. O **GuardDuty** (AWS) e **Microsoft Defender for Cloud** devem ser habilitados em todas as contas corporativas com proteção de desabilitação via SCP/Azure Policy. ## Referências - [MITRE ATT&CK - DS0025 Cloud Service](https://attack.mitre.org/datasources/DS0025/) - [AWS CloudTrail Security - AWS](https://docs.aws.amazon.com/awscloudtrail/) - [Azure Activity Log - Microsoft](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log) - [ANPD - Guia de Boas Práticas LGPD](https://www.gov.br/anpd)