# DET0846 — Detection of Cloud Accounts ## Descrição A estratégia DET0846 trata da detecção de criação e uso fraudulento de contas em serviços de nuvem por adversários. Agentes de ameaças criam contas em provedores como AWS, Azure, GCP ou plataformas SaaS para hospedar infraestrutura de C2, armazenar ferramentas maliciosas, conduzir operações de phishing ou estabelecer capacidade de reconhecimento usando serviços legítimos que raramente são bloqueados por firewalls corporativos. O uso de contas cloud gratuitas ou de avaliação é uma tática comum para reduzir custos operacionais e dificultar rastreamento. Provedores de nuvem dispõem de mecanismos de detecção de abuso, mas a velocidade de criação de contas novas frequentemente supera a capacidade de resposta. Integrar inteligência sobre IPs de provedores cloud em regras de detecção perimetral é uma abordagem complementar. Equipes de segurança devem monitorar acessos incomuns a serviços cloud corporativos, criação de novas contas com padrões automatizados (e-mails descartáveis, informações falsas), e uso de APIs cloud a partir de geolocalização ou ASN fora do perfil habitual da organização. ## Indicadores de Detecção - Criação de conta cloud utilizando domínio de e-mail descartável ou temporário - Login em conta cloud corporativa a partir de país ou ASN não habitual - Criação de múltiplos recursos cloud (VMs, buckets, funções) em curto intervalo - Acesso a API cloud com chave de serviço sem MFA em horário fora do expediente - Transferência de grandes volumes de dados para bucket cloud externo - Conta cloud recém-criada acessando recursos sensíveis imediatamente após criação - Uso de IP de provedor VPN/Tor para autenticação em ambiente cloud corporativo ## Técnicas Relacionadas - [[T1583.006-web-services|T1583.006 — Acquire Infrastructure: Web Services]] - [[T1586.003-cloud-accounts|T1586.003 — Compromise Accounts: Cloud Accounts]] - [[T1587.004-exploits|T1587.004 — Develop Capabilities: Exploits]] - [[T1078.004-cloud-accounts|T1078.004 — Valid Accounts: Cloud Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] ## Analytics Relacionadas - [[an1978-analytic-1978|AN1978 — Analytic 1978]] --- *Fonte: [MITRE ATT&CK — DET0846](https://attack.mitre.org/detectionstrategies/DET0846)*