det0573-cross-platform-detection-of-data-transfer-to-cloud-account

# DET0573 — Cross-Platform Detection of Data Transfer to Cloud Account ## Descrição A transferência de dados para contas cloud controladas pelo adversário ([[t1537-transfer-data-to-cloud-account|T1537]]) representa uma das fases finais de exfiltração em ataques sofisticados. Diferente do upload para serviços públicos (S3, Drive), aqui o adversário utiliza sua própria conta em provedores cloud legítimos para receber os dados, complicando a resposta a incidentes pois o destino é um serviço legítimo. A detecção deve cobrir múltiplas plataformas: Windows, Linux, macOS e ambientes cloud nativos onde o adversário pode usar roles IAM comprometidas para copiar dados entre buckets de diferentes contas. Em ambientes AWS, a técnica clássica envolve uso de `aws s3 sync` ou `aws s3 cp` com credenciais assumidas de uma role comprometida para copiar dados para um bucket em outra conta AWS controlada pelo atacante. Em Azure, `azcopy` com SAS token externo é o padrão. Grupos de ransomware como [[cl0p]] e [[blackcat]] realizam exfiltração para contas cloud antes de criptografar os dados locais, garantindo o material de extorsão. A estratégia de detecção combina monitoramento de CloudTrail (AWS) / Activity Log (Azure) / Cloud Audit Logs (GCP) para operações de cópia cross-account, análise de volume de saída em redes corporativas para endpoints cloud, e correlação com alertas de DLP em endpoints. Políticas de bucket S3 com `aws:SourceAccount` condition e Azure Policies de allowed destinations são controles preventivos complementares. ## Indicadores de Detecção - `aws s3 sync` ou `cp` com `--profile` de role temporária para bucket em outra conta - Evento CloudTrail `CopyObject` com `x-amz-copy-source` e destino em account-id diferente - `azcopy` com SAS token de destino externo à organização - Volume de transferência cloud-to-cloud > 10GB em período < 1 hora - Role IAM assumindo cross-account sem trust policy documentada - Processo `gsutil cp` ou `gsutil rsync` para bucket fora do projeto GCP da organização ## Técnicas Relacionadas - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[T1567.002-exfiltration-over-web-service-cloud-storage|T1567.002 — Exfiltration to Cloud Storage]] - [[T1078.004-valid-accounts-cloud-accounts|T1078.004 — Cloud Accounts]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] ## Analytics Relacionadas - [[an1580-analytic-1580|AN1580 — Analytic 1580]] - [[an1581-analytic-1581|AN1581 — Analytic 1581]] - [[an1582-analytic-1582|AN1582 — Analytic 1582]] --- *Fonte: [MITRE ATT&CK — DET0573](https://attack.mitre.org/detectionstrategies/DET0573)*