det0386-cloud-account-enumeration-via-api-cli-and-scripting-interfaces

# DET0386 — Cloud Account Enumeration via API, CLI, and Scripting Interfaces ## Descrição A enumeração de contas em ambientes de nuvem é frequentemente o primeiro passo após comprometimento de credenciais cloud, onde o adversário utiliza APIs REST, CLIs (`aws cli`, `gcloud`, `az cli`) e interfaces de scripting para mapear usuários, grupos, roles, permissões e recursos associados à conta comprometida. Essa fase de reconhecimento cloud fornece ao atacante um mapa completo das identidades e permissões disponíveis, permitindo identificar caminhos de escalonamento de privilégio, recursos de alto valor e configurações de segurança inadequadas. Comandos como `aws iam list-users`, `aws iam list-roles`, `gcloud iam service-accounts list`, `az ad user list` — especialmente quando executados em sequência rápida ou por identidades sem histórico de tais operações — são indicativos de reconhecimento automático. Grupos como [[g0139-teamtnt|TeamTNT]] e atores focados em comprometimento de nuvem frequentemente utilizam scripts Python/Bash automatizados para enumerar toda a estrutura IAM de uma conta AWS comprometida em questão de minutos, identificando roles com `AdministratorAccess` ou buckets S3 com dados sensíveis. A detecção depende de CloudTrail (AWS), Azure Monitor e GCP Audit Logs configurados para capturar operações de IAM e account discovery, com alertas sobre volume anômalo de operações de listagem por uma identidade específica. ## Indicadores de Detecção - > 20 chamadas a operações `List*` ou `Get*` IAM em menos de 5 minutos pela mesma identidade - `aws iam list-users` + `list-roles` + `list-groups` executados em sequência (enumeração completa) - Chamadas IAM de IP de origem não associado a localização habitual da conta (anomalia geográfica) - User-Agent de CLI ou SDK incomum nas chamadas API (ex: script Python não-padrão) - Enumeração de todos os buckets S3 (`aws s3 ls`) seguida de tentativas de acesso - Consultas a `iam:SimulatePrincipalPolicy` para mapeamento de permissões efetivas ## Técnicas Relacionadas - [[t1087-account-discovery|T1087 — Account Discovery]] - [[T1087004-cloud-account|T1087.004 — Cloud Account]] - [[t1069-permission-groups-discovery|T1069 — Permission Groups Discovery]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[T1078004-cloud-accounts|T1078.004 — Cloud Accounts]] ## Analytics Relacionadas - [[an1087-analytic-1087|AN1087 — Analytic 1087]] - [[an1088-analytic-1088|AN1088 — Analytic 1088]] - [[an1089-analytic-1089|AN1089 — Analytic 1089]] - [[an1090-analytic-1090|AN1090 — Analytic 1090]] --- *Fonte: [MITRE ATT&CK — DET0386](https://attack.mitre.org/detectionstrategies/DET0386)*