det0393-detection-strategy-for-temporary-elevated-cloud-access-abuse-t1548005

# DET0393 — Detection Strategy for Temporary Elevated Cloud Access Abuse (T1548.005) ## Descrição Em ambientes de nuvem (AWS, Azure, GCP), mecanismos de elevação temporária de privilégio são features legítimas de segurança: AWS `sts:AssumeRole`, Azure PIM (Privileged Identity Management), GCP `serviceAccountTokenCreator`. Adversários com acesso a identidades de baixo privilégio mas com permissão de assumir roles mais privilegiadas, ou com capacidade de conceder a si mesmos elevação temporária via PIM, exploram esses mecanismos para executar operações privilegiadas — criar usuários, modificar políticas IAM, acessar dados sensíveis — usando sessões com tokens temporários que expiram, dificultando a investigação forense. O abuso de `sts:AssumeRole` em AWS é especialmente problemático porque: os tokens temporários são válidos por até 12 horas, a origem da solicitação pode ser de qualquer identidade com a permissão `sts:AssumeRole` no trust policy, e o rastreamento requer correlação de CloudTrail entre a sessão de chamada e a sessão assumida. Em Azure, ativações de PIM fora do processo aprovado ou por identidades não-autorizadas são indicativos de abuso. Campanhas de comprometimento de nuvem por [[g0016-apt29|APT29]] e grupos de espionagem documentadamente utilizam role assumption para escalonamento de privilégio silencioso. A detecção correlaciona eventos de assumeRole/PIM com o contexto da identidade solicitante, analisa roles sendo assumidas por identidades sem histórico desse comportamento, e alerta sobre elevações de privilégio seguidas imediatamente de operações de impacto alto. ## Indicadores de Detecção - `sts:AssumeRole` invocado por identidade sem histórico desse comportamento nos últimos 30 dias - Role assumida com permissões significativamente maiores que a identidade original (escalonamento) - Ativação de role PIM no Azure fora de horário comercial ou sem aprovação registrada - Operações destrutivas ou de alto impacto (criação de usuário, modificação de policy) dentro de sessão de role temporária - `sts:AssumeRoleWithWebIdentity` com identity provider não-corporativo (OAuth externo) - Token temporário utilizado de IP de origem diferente do local onde foi gerado (possível roubo de token) ## Técnicas Relacionadas - [[T1548005-temporary-elevated-cloud-access|T1548.005 — Temporary Elevated Cloud Access]] - [[t1548-abuse-elevation-control-mechanism|T1548 — Abuse Elevation Control Mechanism]] - [[T1078004-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1098-account-manipulation|T1098 — Account Manipulation]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] ## Analytics Relacionadas - [[an1105-analytic-1105|AN1105 — Analytic 1105]] - [[an1106-analytic-1106|AN1106 — Analytic 1106]] - [[an1107-analytic-1107|AN1107 — Analytic 1107]] --- *Fonte: [MITRE ATT&CK — DET0393](https://attack.mitre.org/detectionstrategies/DET0393)*