# DC0083 — Cloud Service Enumeration ## Descrição **Cloud Service Enumeration** captura ações de listagem e consulta de serviços disponíveis no plano de controle de ambientes cloud. Esse componente de dados cobre chamadas de API que inventariam recursos como máquinas virtuais, buckets de armazenamento, clusters de containers, bancos de dados gerenciados e outros serviços em AWS, Azure, GCP e plataformas SaaS. Na perspectiva do adversário, a enumeração de serviços cloud é uma etapa crítica de reconhecimento pós-acesso. Após obter credenciais válidas — via [[t1586-compromise-accounts|phishing]], vazamento de credenciais ou exploração de metadados de instância — o atacante executa chamadas como `aws ecs list-services`, `az resource list` ou `gcloud projects list` para mapear a superfície de ataque e identificar recursos de alto valor ou com configurações permissivas. A diferença entre enumeração legítima e maliciosa geralmente está no padrão de volume e variedade: usuários legítimos tendem a consultar serviços específicos do seu escopo de trabalho, enquanto adversários realizam varreduras amplas em curto período, abrangendo múltiplos tipos de serviço e regiões. A detecção deve focar em anomalias de comportamento (user behavior analytics) e em identidades com histórico de acesso restrito que de repente expandem seu escopo de consultas. A correlação deste componente com [[dc0070-cloud-service-metadata|DC0070 — Cloud Service Metadata]] e [[dc0090-cloud-service-disable|DC0090 — Cloud Service Disable]] permite identificar sequências completas do ciclo de ataque em cloud: enumerar → analisar → exfiltrar ou desativar monitoramento. ## Telemetria | Plataforma | Fonte de Log | API / Operação | Notas | |------------|-------------|----------------|-------| | AWS | CloudTrail | `ListServices`, `DescribeInstances`, `ListBuckets`, `ListRoles` | Evento de management | | Azure | Activity Log | `Microsoft.Resources/*/list`, `Microsoft.Compute/*/list` | Filtrar por operações de leitura em massa | | GCP | Cloud Audit Logs | `compute.instances.list`, `storage.buckets.list`, `iam.serviceAccounts.list` | Data Access logs | | Kubernetes | API Server Audit | `list pods`, `list nodes`, `list secrets` | Nível `Metadata` ou superior | | Office 365 | Unified Audit Log | `SearchQueryInitiated`, `ListItems` | Enumeração de SharePoint/Teams | ## Queries de Detecção ### KQL — Microsoft Sentinel (Azure Activity Log — varredura ampla) ```kql AzureActivity | where OperationNameValue has "list" or OperationNameValue has "read" | where ActivityStatusValue == "Success" | summarize operations = makeset(OperationNameValue), total_ops = count() by Caller, CallerIpAddress, bin(TimeGenerated, 30m) | where total_ops > 100 or array_length(operations) > 15 | project TimeGenerated, Caller, CallerIpAddress, total_ops, distinct_operations = array_length(operations) | order by total_ops desc ``` ### SPL — Splunk (AWS CloudTrail — enumeração em massa) ```spl index=aws sourcetype=aws:cloudtrail eventName IN ("ListBuckets", "ListRoles", "ListUsers", "ListFunctions", "DescribeInstances", "ListServices", "DescribeDBInstances", "ListClusters", "ListQueues") | stats dc(eventName) AS unique_apis, count AS total_calls by userIdentity.arn, sourceIPAddress, bin(_time, 30m) | where unique_apis >= 5 OR total_calls >= 50 | sort - total_calls | table _time, userIdentity.arn, sourceIPAddress, unique_apis, total_calls ``` ## Técnicas Relacionadas | Técnica | ID MITRE | Tática | |---------|----------|--------| | [[t1580-cloud-infrastructure-discovery\|Cloud Infrastructure Discovery]] | T1580 | Discovery | | [[t1526-cloud-service-discovery\|Cloud Service Discovery]] | T1526 | Discovery | | [[t1619-cloud-storage-object-discovery\|Cloud Storage Object Discovery]] | T1619 | Discovery | | [[t1613-container-and-resource-discovery\|Container and Resource Discovery]] | T1613 | Discovery | | [[t1087-account-discovery\|Account Discovery]] | T1087 | Discovery | Ver também: [[ds0025-cloud-service|DS0025 — Cloud Service]], [[dc0070-cloud-service-metadata|DC0070 — Cloud Service Metadata]], [[dc0090-cloud-service-disable|DC0090 — Cloud Service Disable]]. ## Contexto LATAM > [!warning] Relevância para Brasil e América Latina > A enumeração de recursos cloud tem sido documentada em campanhas contra empresas brasileiras dos setores [[financial]] e [[technology]]. Grupos como [[g1015-scattered-spider]] e atores de ameaça motivados financeiramente frequentemente exploram credenciais de prestadores de serviços (MSPs) para realizar enumeração em ambientes multi-cloud de seus clientes na América Latina. O CERT.br registrou incidentes em 2024 onde a enumeração massiva de recursos S3 precedeu exfiltração de dados sensíveis de clientes do setor de [[healthcare]]. ## Referências - [MITRE ATT&CK — DC0083 Cloud Service Enumeration](https://attack.mitre.org/datacomponents/DC0083) - [AWS CloudTrail — Management Events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html) - [Azure Monitor — Activity Log Reference](https://learn.microsoft.com/en-us/azure/azure-monitor/essentials/activity-log-schema) - [GCP Cloud Audit Logs — Data Access](https://cloud.google.com/logging/docs/audit/configure-data-access) - [[_data-sources|DS0025 — Cloud Service (parent data source)]]