det0578-detection-strategy-for-cloud-storage-object-discovery

# DET0578 — Detection Strategy for Cloud Storage Object Discovery ## Descrição A descoberta de objetos em armazenamento cloud ([[t1619-cloud-storage-object-discovery|T1619]]) ocorre quando adversários com acesso a credenciais cloud válidas enumeram buckets S3, Azure Blob Storage ou Google Cloud Storage para identificar dados de valor antes da exfiltração. As operações `ListBuckets`, `ListObjects`, `GetBucketPolicy` e equivalentes são utilizadas para mapear o que está disponível. Em muitas organizações, buckets com dados sensíveis (backups, logs, dados de clientes) estão mal configurados com permissões excessivamente abertas, facilitando a coleta de inteligência pelo adversário. Ataques de comprometimento de ambiente cloud frequentemente incluem essa fase de descoberta antes da exfiltração: o adversário acessa o environment com credenciais roubadas (via exposed `.env` files, metadata SSRF, ou comprometimento de pipeline CI/CD) e realiza enumeração sistemática de todos os recursos de storage disponíveis. A operação `aws s3 ls --recursive` ou chamadas à API `ListObjectsV2` em múltiplos buckets em sequência rápida são padrões de enumeração maliciosa. A detecção deve focar em CloudTrail (AWS), Activity Log (Azure) e Cloud Audit Logs (GCP) para identificar padrões de enumeração: muitas chamadas `ListObjects` em curto período, acesso a buckets sensíveis por roles que normalmente não os acessam, ou listagem de buckets por IP externo mesmo que com credenciais válidas. Alertas de anomalia de IAM baseados em histórico de acesso são complementares. ## Indicadores de Detecção - > 20 chamadas `ListObjects` para buckets distintos em < 5 minutos pela mesma role/usuário - `GetBucketPolicy` ou `GetBucketAcl` em buckets não acessados por aquela role historicamente - `aws s3 ls` ou API `ListBuckets` executado de IP externo com credenciais de role de instância EC2 - Enumeração de todos os objetos de bucket de backup por ServiceAccount de aplicação web - CloudTrail: `ListObjectsV2` com `prefix` vazio retornando milhares de objetos - Acesso a bucket com nome contendo "backup", "logs", "prod", "secrets" por role não-administrativa ## Técnicas Relacionadas - [[t1619-cloud-storage-object-discovery|T1619 — Cloud Storage Object Discovery]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1580-cloud-infrastructure-discovery|T1580 — Cloud Infrastructure Discovery]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[T1078.004-valid-accounts-cloud-accounts|T1078.004 — Cloud Accounts]] ## Analytics Relacionadas - [[an1594-analytic-1594|AN1594 — Analytic 1594]] --- *Fonte: [MITRE ATT&CK — DET0578](https://attack.mitre.org/detectionstrategies/DET0578)*