det0546-detection-of-abused-or-compromised-cloud-accounts-for-access-and-persist

# DET0546 — Detection of Abused or Compromised Cloud Accounts for Access and Persistence ## Descrição O abuso de contas cloud comprometidas ([[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]]) é o vetor de acesso inicial e persistência mais comum em ambientes cloud. Adversários obtêm credenciais cloud via phishing, credential stuffing, roubo de access keys de repositórios de código (GitHub, GitLab), exposição em logs de aplicação ou compra em mercados clandestinos. Uma vez com acesso, o padrão típico inclui: reconhecimento da conta e permissões, criação de credenciais backdoor, escalada de privilégios via privilege creep e estabelecimento de persistência. Ataques como o comprometimento da Twitch (2021) e múltiplas campanhas do [[g1015-scattered-spider|Scattered Spider]] demonstram o impacto de contas cloud comprometidas. A detecção requer análise comportamental baseada em linha de base por identidade: login de novas localizações geográficas, uso de user-agent incomum (scripts automatizados versus browser legítimo), acesso fora do horário normal da conta, volume anormal de chamadas de API, e acesso a recursos nunca antes utilizados pela conta. Em ambientes AWS, o GuardDuty detecta automaticamente padrões como `UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B` (login de IP malicioso) e `PersistenceDetection:IAMUser/UserCreations` (criação de usuários suspeita). A detecção de persistência foca em: criação de credenciais adicionais (tratada em [[det0531-detection-strategy-for-additional-cloud-credentials-in-iaasidpsaas|DET0531]]), políticas IAM permissivas anexadas a identidades, membership em grupos privilegiados por conta comprometida, e ativação de serviços cloud não-utilizados (como CloudShell ou Lambda) que podem servir como ambiente de execução furtivo. A correlação entre múltiplos sinais fracos — login de IP novo + primeira vez acessando recurso + horário incomum — é mais eficaz que alertas individuais. ## Indicadores de Detecção - Login de conta cloud de país/cidade geolocalizada fora do padrão histórico do usuário - User-agent de cliente de API (boto3, az-cli, gcloud) utilizado por conta que normalmente usa console web - Volume de chamadas de API > 3x a média histórica diária da conta em uma única hora - Acesso a serviço cloud (ex: S3 buckets, Secrets Manager, Key Vault) nunca antes acessado pela conta - Criação de recursos cloud (instâncias, funções Lambda, containers) por conta de usuário (não service account IaC) - CloudTrail event `ConsoleLogin` com `additionalEventData.MFAUsed: No` para conta que normalmente usa MFA ## Técnicas Relacionadas - [[t1078-004-cloud-accounts|T1078.004 — Cloud Accounts]] — técnica principal coberta por esta estratégia - [[t1078-valid-accounts|T1078 — Valid Accounts]] — uso amplo de credenciais válidas para acesso - [[t1098-account-manipulation|T1098 — Account Manipulation]] — escalada de permissões após comprometimento - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] — fontes de obtenção de credenciais cloud - [[t1531-account-access-removal|T1531 — Account Access Removal]] — remoção de outros administradores para exclusividade ## Analytics Relacionadas - [[an1503-analytic-1503|AN1503 — Analytic 1503]] - [[an1504-analytic-1504|AN1504 — Analytic 1504]] - [[an1505-analytic-1505|AN1505 — Analytic 1505]] - [[an1506-analytic-1506|AN1506 — Analytic 1506]] --- *Fonte: [MITRE ATT&CK — DET0546](https://attack.mitre.org/detectionstrategies/DET0546)*