det0147-detection-strategy-for-cloud-service-hijacking-via-saas-abuse

# DET0147 — Detection Strategy for Cloud Service Hijacking via SaaS Abuse ## Descrição Esta estratégia detecta o sequestro de serviços SaaS legítimos para uso como infraestrutura de C2, exfiltração ou staging (T1584, T1102). Adversários abusam de serviços como GitHub, Pastebin, Notion, Discord, Slack, Google Drive e OneDrive para hospedar payloads, receber comandos ou exfiltrar dados, aproveitando-se da confiança implícita que as organizações depositam nesses domínios e da dificuldade de inspecionar tráfego HTTPS para serviços legítimos de negócio. O padrão comportamental central é: processo malicioso fazendo requisições regulares e automatizadas a APIs de SaaS conhecido (GitHub API, Discord webhooks, Notion API) para ler comandos ou postar resultados. A regularidade das requisições (beaconing) e o contexto do processo (não é o aplicativo oficial do serviço) são os principais discriminadores. A telemetria inclui logs de proxy web com categorização de URL e análise de User-Agent, Sysmon Event ID 3 para conexões a domínios de SaaS por processos suspeitos, e análise de DLP de conteúdo enviado a serviços de armazenamento cloud. Bloquear APIs de SaaS não utilizados pela organização reduz a superfície de ataque. ## Indicadores de Detecção - Processo em `%TEMP%` ou sem assinatura digital fazendo requisições repetidas à API do GitHub/Pastebin - User-Agent não-padrão (não-navegador) em requisições para `api.github.com`, `discord.com/api`, `cdn.discordapp.com` - Upload de arquivos para Google Drive ou OneDrive por processo com comportamento de staging prévio - Leitura de Gist público ou Pastebin em intervalo regular (polling de C2 instrução) - Volume de dados enviados a serviço SaaS excedendo baseline estabelecido para aquele processo/host ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] ## Analytics Relacionadas - [[an0417-analytic-0417|AN0417 — Analytic 0417]] --- *Fonte: [MITRE ATT&CK — DET0147](https://attack.mitre.org/detectionstrategies/DET0147)*