det0277-detection-strategy-for-role-addition-to-cloud-accounts

# DET0277 — Detection Strategy for Role Addition to Cloud Accounts ## Descrição Esta estratégia detecta a adição não autorizada de papéis (roles) a contas em ambientes de nuvem, uma técnica usada por adversários para escalar privilégios ou manter persistência após comprometer credenciais iniciais. Atacantes frequentemente adicionam roles administrativos a contas de serviço ou usuários comprometidos para expandir seu acesso sem levantar suspeitas imediatas. Os indicadores primários incluem chamadas de API como `AddRoleToInstanceProfile` (AWS), `roles/setIamPolicy` (GCP) ou `Microsoft.Authorization/roleAssignments/write` (Azure) originadas de IPs incomuns, horários fora do padrão ou identidades que normalmente não realizam operações de IAM. A telemetria de logs de auditoria de nuvem (CloudTrail, GCP Audit Logs, Azure Monitor) é essencial para esta detecção. A correlação com contexto comportamental é crítica: uma adição de role seguida de acesso imediato a recursos sensíveis ou criação de novas credenciais é um sinal de alta fidelidade de comprometimento ativo. Ferramentas como [[s1091-pacu|Pacu]] e [[ScoutSuite]] são frequentemente usadas em etapas pré-exploração associadas a este padrão. ## Indicadores de Detecção - Chamadas de API de atribuição de role fora do horário comercial ou de regiões não habituais - Role administrativa adicionada a conta de serviço ou conta criada recentemente - Volume anormal de operações IAM em curto período - Adição de role seguida de acesso imediato a buckets S3, Key Vaults ou Secret Manager - Principal sem histórico de operações IAM realizando atribuições de roles privilegiados - Uso de roles wildcard (`*`) ou com permissões excessivamente amplas ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1136-create-account|T1136 — Create Account]] ## Analytics Relacionadas - [[an0771-analytic-0771|AN0771 — Analytic 0771]] - [[an0772-analytic-0772|AN0772 — Analytic 0772]] - [[an0773-analytic-0773|AN0773 — Analytic 0773]] --- *Fonte: [MITRE ATT&CK — DET0277](https://attack.mitre.org/detectionstrategies/DET0277)*