det0545-detection-strategy-for-cloud-administration-command

# DET0545 — Detection Strategy for Cloud Administration Command ## Descrição A execução de comandos de administração cloud ([[t1651-cloud-administration-command|T1651 — Cloud Administration Command]]) por adversários abusa de ferramentas nativas de gerenciamento de instâncias cloud para executar código em VMs sem necessidade de acesso SSH/RDP direto, contornando regras de firewall e registros de acesso remoto tradicionais. Em AWS, o AWS Systems Manager Run Command (`ssm:SendCommand`) permite execução de scripts em instâncias EC2 com o agente SSM instalado. No Azure, o Azure Run Command (`Microsoft.Compute/virtualMachines/runCommand`) oferece funcionalidade equivalente. No GCP, o OS Login com `gcloud compute ssh --command` é o mecanismo correspondente. Estas ferramentas são legítimas e amplamente utilizadas por times de operações para gerenciamento em escala, mas adversários com acesso ao plano de controle cloud (API keys, tokens, roles IAM comprometidas) podem utilizá-las para executar backdoors, exfiltrar dados ou estabelecer persistência em instâncias sem deixar rastros nos logs de autenticação SSH das próprias VMs. O CloudTrail AWS registra eventos `SendCommand` com os parâmetros do comando e os Instance IDs alvo — fonte primária para detecção. A detecção requer correlação entre: (1) identidade que está executando o comando (role/user), (2) horário e localização da chamada de API, (3) conteúdo do comando executado e (4) instâncias alvo. Identidades que nunca antes executaram Run Commands, comandos com conteúdo de shell suspeito (download de binários, criação de cron jobs, dump de credenciais) ou execução em massa em múltiplas instâncias simultaneamente são os principais sinais de alerta. ## Indicadores de Detecção - CloudTrail event `ssm:SendCommand` por IAM role/user que não tem histórico de uso desta API - Conteúdo do Run Command contendo `curl`, `wget`, `bash -i`, `python -c` ou equivalentes de execução remota - `Microsoft.Compute/virtualMachines/runCommand` em Azure Activity Log por service principal não-operacional - Execução de Run Command em múltiplas instâncias simultaneamente (> 5 instâncias em < 60 segundos) - Run Command que resulta em criação de novo usuário, modificação de crontab ou download de binário na instância alvo - Chamada de API de administração cloud originada de IP não-presente na lista de IPs de administração aprovados ## Técnicas Relacionadas - [[t1651-cloud-administration-command|T1651 — Cloud Administration Command]] — técnica principal coberta por esta estratégia - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de scripts via Run Command - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] — contas cloud comprometidas usadas para executar comandos - [[t1021-004-ssh|T1021.004 — SSH]] — acesso remoto alternativo que Run Command contorna - [[t1098-account-manipulation|T1098 — Account Manipulation]] — persistência estabelecida via comandos de administração ## Analytics Relacionadas - [[an1502-analytic-1502|AN1502 — Analytic 1502]] --- *Fonte: [MITRE ATT&CK — DET0545](https://attack.mitre.org/detectionstrategies/DET0545)*