det0078-behavioral-detection-of-malicious-cloud-api-scripting

# DET0078 — Behavioral Detection of Malicious Cloud API Scripting ## Descrição Com a adoção massiva de plataformas cloud (AWS, Azure, GCP), adversários cada vez mais utilizam CLIs e SDKs nativos das provedoras para conduzir reconhecimento, escalar privilégios e exfiltrar dados diretamente via APIs legítimas. O uso de `aws cli`, `az cli`, `gcloud`, scripts Boto3 ou SDKs equivalentes por identidades comprometidas é difícil de distinguir de uso legítimo — tornando a detecção baseada em contexto e anomalia comportamental essencial. Esta estratégia de detecção analisa padrões anômalos no uso de APIs cloud: volume e variedade incomuns de chamadas de API por uma única identidade em curto período (indicativo de enumeração automatizada), chamadas de API para serviços nunca previamente utilizados pela identidade, acesso a recursos em regiões geográficas onde a organização não opera, e uso de credenciais de acesso programático (Access Keys) de IPs externos sem histórico de uso daquela identidade. Grupos APT com foco em cloud — incluindo operadores associados a [[g1015-scattered-spider|unc3944]] e campanhas de comprometimento de ambientes AWS/Azure — frequentemente utilizam scripts automatizados com `aws s3 sync`, `az storage blob download` ou chamadas massivas à API de IAM para exfiltrar dados e mapear a superfície de ataque cloud após o comprometimento inicial de credenciais. ## Indicadores de Detecção - Mais de 100 chamadas de API distintas por uma única identidade em janela de 5 minutos (enumeração) - Acesso a serviço cloud nunca anteriormente utilizado pela identidade (ex: primeira chamada ao S3 após meses de uso apenas do EC2) - Chamadas de API originadas de IP em país diferente do histórico de uso da identidade - Exportação de dados em lote via `aws s3 sync`, `az storage blob download` ou equivalente por conta de serviço - Criação de novas credenciais IAM ou adição de políticas permissivas por identidade sem histórico de operações de IAM - Uso de Access Key ID não associado a instância ou pipeline CI/CD — indicativo de uso manual em script externo ## Técnicas Relacionadas - [[t1059009-command-and-scripting-interpreter-cloud-api|T1059.009 — Cloud API]] - [[t1078004-valid-accounts-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] ## Analytics Relacionadas - [[an0215-analytic-0215|AN0215 — Analytic 0215]] --- *Fonte: [MITRE ATT&CK — DET0078](https://attack.mitre.org/detectionstrategies/DET0078)*