t1530-data-from-cloud-storage

# T1530 - Data from Cloud Storage ## Descrição Adversários acessam dados armazenados em provedores de nuvem - como buckets S3, blobs Azure, Google Cloud Storage, OneDrive e SharePoint - para coletar informações sensíveis sem precisar comprometer endpoints. A técnica explora configurações incorretas de permissão, credenciais vazadas ou tokens OAuth abusados para recuperar arquivos diretamente via [[t1059-009-cloud-api|Cloud API]] ou interfaces web. No contexto do Brasil e da América Latina, a adoção acelerada de suítes colaborativas (Microsoft 365 e Google Workspace) por empresas dos setores [[_sectors|financeiro, governo e saúde]] criou uma superfície de ataque significativa. É comum encontrar buckets S3 ou containers Azure com ACLs mal configuradas expondo documentos internos, planilhas com dados de clientes e arquivos de backup. Grupos como [[g1015-scattered-spider|Scattered Spider]] e [[g1044-apt42|APT42]] têm explorado ativamente esse vetor - primeiro comprometendo identidades via [[t1566-phishing|phishing]] ou engenharia social, depois movendo-se lateralmente para serviços de nuvem. Diferente de exfiltração de endpoint, o acesso a armazenamento em nuvem frequentemente não dispara alertas de DLP tradicionais, pois o tráfego utiliza APIs legítimas do provedor. A ausência de MFA em contas de serviço e service accounts com permissões excessivas amplifica drasticamente o impacto. > [!warning] Relevância LATAM > Incidentes de exposição de buckets S3 e OneDrive mal configurados são recorrentes em empresas brasileiras. O CERT.br registra casos de dados de clientes do setor financeiro expostos via storage público não autenticado. ## Attack Flow ```mermaid graph TB A([Reconhecimento]) --> B([Acesso Inicial]) B --> C([Escalada / Movimento Lateral]) C --> D{T1530\nData from\nCloud Storage}:::highlight D --> E([Exfiltração]) E --> F([Impacto - Vazamento de Dados]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona **Passo 1 - Obtenção de Acesso** O adversário obtém credenciais válidas de nuvem por meio de [[t1566-phishing|phishing]], credenciais expostas em repositórios de código, ou tokens de acesso vazados em logs de aplicação. Com uma conta comprometida, autentica-se na [[t1059-009-cloud-api|Cloud API]] do provedor (AWS CLI, az CLI, gcloud) ou acessa o console web diretamente. **Passo 2 - Enumeração e Descoberta** Usando ferramentas como [[s1091-pacu|Pacu]] (AWS), [[s0677-aadinternals|AADInternals]] (Azure/M365) ou [[s0683-peirates|Peirates]] (Kubernetes/GCP), o adversário enumera buckets, containers e drives acessíveis pela conta comprometida, identificando objetos com dados de alto valor - backups, planilhas financeiras, arquivos de configuração com segredos. **Passo 3 - Coleta em Massa** O adversário realiza download em massa dos objetos identificados via API ou CLI, frequentemente sincronizando repositórios inteiros. Técnicas de [[t1530-data-from-cloud-storage|acesso a storage]] podem ser combinadas com [[t1537-transfer-data-to-cloud-account|Transfer Data to Cloud Account]] para mover dados para uma conta controlada pelo atacante antes da exfiltração final. ## Detecção ### Event IDs Relevantes | Plataforma | Event / Log | Indicador de Abuso | |-----------|-------------|-------------------| | AWS | CloudTrail - `GetObject`, `ListBuckets` | Volume anômalo de `GetObject` em curto período | | Azure | Unified Audit Log - `FileDownloaded`, `SearchQueryPerformed` | Downloads em massa fora do horário comercial | | GCP | Cloud Audit Log - `storage.objects.get` | Acesso de IP/região incomum | | M365 | SharePoint Audit - `FileAccessed`, `FileSyncDownloadedFull` | Sincronização de diretórios inteiros por conta nova | | AWS | CloudTrail - `AssumeRole` com `ConsoleLogin` incomum | Uso de role não habitual para acesso a S3 | ### Sigma Rule ```yaml title: Anomalous Cloud Storage Mass Download id: a3f1c2d4-8b7e-4f2a-9c6d-1e5f3a2b7d8c status: experimental description: > Detecta download em massa de objetos de cloud storage em curto intervalo de tempo - indicativo de T1530 Data from Cloud Storage. logsource: category: cloud product: aws service: cloudtrail detection: selection: eventName: - GetObject - ListBuckets - GetBucketAcl timeframe: 5m condition: selection | count() by userIdentity.arn > 200 falsepositives: - Backup automatizado legítimo - Migração de dados agendada level: high tags: - attack.collection - attack.t1530 ``` ## Mitigação | Controle | Mitigação MITRE | Ação Recomendada para Org. Brasileiras | |---------|----------------|----------------------------------------| | Gestão de contas | [[m1018-user-account-management\|M1018]] | Revisar e remover permissões excessivas de service accounts; aplicar princípio do menor privilégio | | MFA obrigatório | [[m1032-multi-factor-authentication\|M1032]] | Habilitar MFA para todas as contas com acesso a storage - sem exceção para contas de serviço | | Criptografia em repouso | [[m1041-encrypt-sensitive-information\|M1041]] | Criptografar buckets com chaves gerenciadas pelo cliente (CMK/BYOK) | | Permissões de arquivo | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Bloquear acesso público em todos os buckets; usar SCPs (AWS) ou Azure Policy para enforcement | | Filtro de tráfego | [[m1037-filter-network-traffic\|M1037]] | Configurar VPC Endpoints e restringir acesso a storage a IPs corporativos via bucket policy | | Auditoria contínua | [[m1047-audit\|M1047]] | Habilitar CloudTrail/Azure Monitor com retenção mínima de 90 dias; alertar em downloads > 1 GB por sessão | ## Threat Actors e Software ### Grupos que Utilizam esta Técnica - [[g1015-scattered-spider|Scattered Spider]] - grupo de habla inglesa que abusa de engenharia social para comprometer identidades corporativas e acessar OneDrive/SharePoint de empresas de telecomúnicações e BPO, incluindo subsidiárias latino-americanas - [[g1044-apt42|APT42]] - grupo iraniano que coleta documentos de drives corporativos em campanhas de espionagem contra organizações diplomáticas e de pesquisa; ativo em alvos no Brasil ligados a organismos internacionais - [[g0117-fox-kitten|Fox Kitten]] - operações iranianas com foco em exfiltração de dados de infraestrutura; acessa storage após comprometer VPNs e servidores expostos - [[g0125-silk-typhoon|HAFNIUM]] - grupo chinês que explora servidores Exchange e depois pivota para SharePoint/OneDrive de organizações-alvo - [[g1053-storm-0501|Storm-0501]] - afiliado de ransomware que coleta dados de cloud storage antes de criptografar ambientes híbridos ### Software Associado - [[s0683-peirates|Peirates]] - ferramenta de post-exploitation para ambientes Kubernetes/GCP; enumera e extrai segredos e dados de storage - [[s1091-pacu|Pacu]] - framework de exploração AWS; módulos específicos para S3 enumeration e download em massa - [[s0677-aadinternals|AADInternals]] - toolkit PowerShell para Azure AD e M365; permite acessar OneDrive e SharePoint com tokens comprometidos --- *Fonte: [MITRE ATT&CK - T1530](https://attack.mitre.org/techniques/T1530)*