# DET0879 — Detection of Cloud Accounts ## Descrição A estratégia DET0879 complementa a DET0846 com foco específico na detecção do comprometimento de contas cloud corporativas existentes, em contraste com a criação de novas contas fraudulentas. Contas cloud comprometidas são um dos vetores mais críticos em ambientes modernos, pois oferecem acesso direto a dados sensíveis, infraestrutura computacional e serviços de identidade centralizados que controlam o acesso a recursos on-premises e cloud simultaneamente. O comprometimento de contas cloud ocorre através de phishing de credenciais OAuth, roubo de tokens de sessão, exploração de configurações incorretas de IAM, e abuso de aplicações OAuth maliciosas que obtêm permissões delegadas. Adversários com acesso a uma conta cloud com privilégios adequados podem criar backdoors via novos usuários, roles e service accounts que persistem mesmo após troca de senha da conta original. A detecção requer monitoramento granular de logs de auditoria cloud (AWS CloudTrail, Azure Monitor, GCP Cloud Audit Logs) com regras de detecção para anomalias de comportamento de conta, como criação de recursos não habitual, modificações de políticas de IAM, e acessos a dados de alta sensibilidade fora do contexto operacional normal da conta. ## Indicadores de Detecção - Login em conta cloud corporativa com token de sessão de localização geográfica incomum - Criação de novo usuário IAM ou service account por conta corporativa sem aprovação documentada - Modificação de política IAM concedendo permissões excessivas a entidade não familiar - Acesso a bucket S3 ou storage container contendo dados sensíveis por conta sem histórico de acesso - Desabilitação de logging ou monitoramento cloud por conta com permissões administrativas - Criação de API key ou credential longa duração em conta cloud que normalmente usa SSO - Exportação de dados cloud para bucket externo ou subscription não pertencente à organização ## Técnicas Relacionadas - [[T1586.003-cloud-accounts|T1586.003 — Compromise Accounts: Cloud Accounts]] - [[T1078.004-cloud-accounts|T1078.004 — Valid Accounts: Cloud Accounts]] - [[t1530-data-from-cloud-storage|T1530 — Data from Cloud Storage]] - [[t1537-transfer-data-to-cloud-account|T1537 — Transfer Data to Cloud Account]] - [[T1562.008-disable-cloud-logs|T1562.008 — Impair Defenses: Disable Cloud Logs]] - [[T1136.003-cloud-account|T1136.003 — Create Account: Cloud Account]] ## Analytics Relacionadas - [[an2011-analytic-2011|AN2011 — Analytic 2011]] --- *Fonte: [MITRE ATT&CK — DET0879](https://attack.mitre.org/detectionstrategies/DET0879)*