det0402-detection-strategy-for-cloud-service-discovery

# DET0402 — Detection Strategy for Cloud Service Discovery ## Descrição A descoberta de serviços em nuvem é uma fase de reconhecimento pós-comprometimento em que adversários enumeram os recursos, configurações e permissões disponíveis no ambiente cloud da vítima. Por meio de chamadas às APIs de AWS, Azure ou GCP — usando credenciais comprometidas ou roles mal configuradas — atacantes mapeiam instâncias EC2, buckets S3, grupos IAM, redes VPC, funções Lambda e outros ativos antes de realizar movimento lateral ou exfiltração. A detecção foca na análise de logs de controle de plataforma: AWS CloudTrail, Azure Activity Log e GCP Audit Logs registram cada chamada de API. Padrões de "API enumeration burst" — dezenas ou centenas de chamadas de listagem em curto intervalo, especialmente para serviços não utilizados anteriormente — são indicadores-chave. O uso de ferramentas de reconhecimento como `ScoutSuite`, `Pacu`, `CloudMapper` ou `enumeraté-iam` pode ser identificado pelos padrões de User-Agent e sequência de chamadas de API. Grupos como [[g0016-apt29]] e [[g0016-apt29|unc2452]] utilizaram extensivamente a descoberta de serviços cloud em campanhas de espionagem. Chamadas de API originadas de IPs não presentes no baseline de acesso da organização, ou de regiões geográficas incomuns, combinadas com enumeração massiva, são sinais de alerta críticos em ambientes multi-cloud. ## Indicadores de Detecção - Rajada de chamadas de API de listagem (ListBuckets, DescribeInstances, ListUsers) em curto intervalo - Chamadas de API para serviços nunca utilizados anteriormente pelo mesmo principal IAM - Acesso à API cloud originado de IP ou região geográfica fora do baseline - User-Agent de ferramentas de reconhecimento conhecidas (Pacu, ScoutSuite, cloudmapper) - Falhas de autorização em série (AccessDenied) seguidas de chamadas bem-sucedidas de enumeração ## Técnicas Relacionadas - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1526-cloud-service-discovery|T1526 — Cloud Service Discovery]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] ## Analytics Relacionadas - [[an1127-analytic-1127|AN1127 — Analytic 1127]] - [[an1128-analytic-1128|AN1128 — Analytic 1128]] - [[an1129-analytic-1129|AN1129 — Analytic 1129]] - [[an1130-analytic-1130|AN1130 — Analytic 1130]] --- *Fonte: [MITRE ATT&CK — DET0402](https://attack.mitre.org/detectionstrategies/DET0402)*