det0531-detection-strategy-for-additional-cloud-credentials-in-iaasidpsaas

# DET0531 — Detection Strategy for Additional Cloud Credentials in IaaS/IdP/SaaS ## Descrição A criação de credenciais adicionais em ambientes de nuvem ([[t1098-account-manipulation|T1098 — Account Manipulation]]) é uma técnica de persistência onde adversários, após obterem acesso inicial, criam access keys, API tokens, senhas de aplicativo ou identidades adicionais para manter acesso mesmo que as credenciais comprometidas originais sejam revogadas. Em AWS, isso se manifesta como criação de novas IAM Access Keys para usuários existentes ou criação de novos usuários/roles. Em Azure/Entra ID, como adição de credenciais a service principals, criação de aplicativos enterprise ou adição de métodos MFA rogue. A detecção em ambientes IaaS (AWS, Azure, GCP) requer monitoramento dos logs de auditoria nativos — CloudTrail (AWS), Azure Activity Log e Audit Log, GCP Cloud Audit Logs. Eventos críticos incluem `CreateAccessKey`, `CreateServiceAccountKey`, `AddPasswordCredential` e qualquer criação de entidade de identidade por usuário ou role que não sejá automação conhecida de IaC. Em IdPs como Okta e Azure AD, a adição de métodos de autenticação (TOTP, chave FIDO2) por conta de usuário fora do processo de onboarding é um forte indicador. Em SaaS (Salesforce, GitHub, Slack), a criação de tokens OAuth, personal access tokens e webhooks por contas comprometidas permite persistência que sobrevive a resets de senha. A correlação entre o acesso inicial suspeito (login de IP incomum) e a subsequente criação de credencial adicional dentro da mesma sessão ou nos minutos seguintes é o padrão comportamental central desta estratégia de detecção. ## Indicadores de Detecção - Criação de IAM Access Key (`CreateAccessKey`) por usuário diferente do proprietário da key ou fora de processo de provisionamento automatizado - Adição de credencial a service principal Azure (`Add service principal credentials`) por conta não-IaC - Criação de novo usuário IAM com permissões `AdministratorAccess` ou `*:*` por conta que não sejá automação de provisionamento - Adição de método MFA (`enroll MFA`) em conta ativa por IP ou localização geográfica incomum - Criação de GitHub Personal Access Token ou OAuth app por conta corporativa fora do processo de desenvolvimento aprovado - CloudTrail event `CreateLoginProfile` ou `UpdateLoginProfile` para usuário que já tinha credenciais ativas ## Técnicas Relacionadas - [[t1098-account-manipulation|T1098 — Account Manipulation]] — técnica principal coberta por esta estratégia - [[t1098-001-additional-cloud-credentials|T1098.001 — Additional Cloud Credentials]] — subtécnica específica - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] — uso de contas cloud para persistência - [[t1136-create-account|T1136 — Create Account]] — criação de novas contas para persistência - [[t1550-001-application-access-token|T1550.001 — Application Access Token]] — uso de tokens criados para acesso ## Analytics Relacionadas - [[an1469-analytic-1469|AN1469 — Analytic 1469]] - [[an1470-analytic-1470|AN1470 — Analytic 1470]] - [[an1471-analytic-1471|AN1471 — Analytic 1471]] --- *Fonte: [MITRE ATT&CK — DET0531](https://attack.mitre.org/detectionstrategies/DET0531)*