# T1555.006 - Cloud Secrets Management Stores ## Técnica Pai Esta é uma sub-técnica de [[t1555-credentials-from-password-stores|T1555 - T1555 - Credentials from Password Stores]]. ## Descrição Adversários com acesso privilegiado a ambientes de nuvem podem extrair credenciais diretamente de cofres de segredos gerenciados - serviços como AWS Secrets Manager, Azure Key Vault e GCP Secret Manager, projetados para centralizar e proteger senhas, tokens de API, chaves de criptografia e outros materiais sensíveis. Embora esses serviços existam exatamente para eliminar credenciais armazenadas em texto plano em arquivos de configuração ou variáveis de ambiente, eles se tornam alvos de alto valor quando um adversário consegue privileges suficientes para consultar a API do cofre diretamente. O vetor de ataque mais comum começa com o comprometimento de uma [[t1078-004-cloud-accounts|conta cloud]] ou de um papel IAM (Identity and Access Management) com permissões excessivas de leitura sobre os segredos. A partir desse ponto, o adversário pode enumerar todos os segredos disponíveis e exfiltrar seu conteúdo com comandos nativos das plataformas: `aws secretsmanager get-secret-value`, `gcloud secrets versions access latest --secret=NOME`, ou `az keyvault secret show`. Ferramentas de ataque como [[s1091-pacu|Pacu]] automatizam essa enumeração e extração em larga escala, tornando o processo trivial uma vez que o acesso inicial está estabelecido. Esta técnica é distinta de [[t1552-005-cloud-instance-metadata-api|Cloud Instance Metadata API]] - aqui as credenciais são obtidas diretamente do cofre, não via endpoint de metadados da instância. **Contexto Brasil/LATAM:** A adoção acelerada de infraestrutura em nuvem por empresas brasileiras - especialmente no [[_sectors|setor financeiro]], fintechs e grandes varejistas - ampliou significativamente a superfície de ataque relacionada a gestão de segredos. Organizações que migraram aplicações legadas para AWS ou Azure frequentemente configuram políticas IAM excessivamente permissivas como medida temporária que se torna permanente. Grupos como [[g1053-storm-0501|Storm-0501]] têm operado em ambientes híbridos comprometendo identidades cloud para escalar privilégios e acessar cofres de segredos que contêm credenciais de sistemas on-premises - padrão observado em campanhas de ransomware que visam organizações na América do Norte e que apresenta risco equivalente para o mercado corporativo brasileiro. ## Attack Flow ```mermaid graph TB A[Comprometimento<br/>de Identidade Cloud] --> B[Enumeração<br/>de Permissões IAM] B --> C[Acesso ao<br/>Cofre de Segredos] C --> D[Extração de<br/>Credenciais] D --> E[Movimento Lateral<br/>ou Persistência] style C fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário obtém acesso inicial a um ambiente cloud via credenciais comprometidas de uma [[t1078-004-cloud-accounts|conta cloud]], chave de API vazada, ou comprometimento de um serviço com papel IAM atribuído. Em seguida, enumera as permissões disponíveis para identificar acesso a serviços de gerenciamento de segredos. Ferramentas como [[s1091-pacu|Pacu]] (framework de exploração AWS) automatizam a fase de reconhecimento com módulos como `iam__enum_permissions` e `secretsmanager__enum`. ### 2. Execução Com permissões de leitura confirmadas, o adversário lista todos os segredos disponíveis no cofre (`aws secretsmanager list-secrets`) e itera sobre cada um para extrair o valor (`get-secret-value --secret-id NOME`). Em Azure Key Vault, o equivalente é `az keyvault secret list` seguido de `az keyvault secret show`. Os segredos extraídos tipicamente incluem strings de conexão de banco de dados, chaves de API de serviços terceiros, credenciais de contas de serviço e certificados - exatamente os materiais necessários para movimento lateral e persistência duradoura. ### 3. Pós-execução Com credenciais de banco de dados, sistemas de pagamento ou serviços internos em mãos, o adversário expande o acesso lateralmente para sistemas on-premises ou outros serviços cloud. Em campanhas de ransomware como as do grupo [[g1053-storm-0501|Storm-0501]], os segredos extraídos são usados para comprometer controladores de domínio e preparar a exfiltração de dados antes da criptografia. Credenciais de APIs financeiras ou de pagamento podem ser monetizadas diretamente ou vendidas em mercados clandestinos. ## Detecção ### Event IDs e Logs Relevantes | Plataforma | Log / Evento | Indicador de Comprometimento | |------------|-------------|------------------------------| | AWS | CloudTrail - `GetSecretValue` | Volume anormal de chamadas; chamadas de IPs externos ou regiões incomuns | | AWS | CloudTrail - `ListSecrets` | Enumeração massiva de segredos em curto intervalo | | Azure | Azure Monitor - `SecretGet` (Key Vault) | Acesso fora do horário comercial; identidade não reconhecida | | GCP | Cloud Audit Logs - `AccessSecretVersion` | Acessos de contas de serviço incomuns ou de fora do projeto | | Qualquer | GuardDuty / Defender for Cloud | Alertas de `UnauthorizedAccess:IAMUser/SecretManager` | ### Sigma Rule ```yaml title: Unauthorized Cloud Secrets Manager Enumeration id: a7d3e1b2-5f4c-4a2e-8b9d-3c1f0e7a2b4d status: experimental description: > Detecta enumeração e extração em massa de segredos de cofres cloud, padrão consistente com T1555.006. Monitora chamadas de ListSecrets seguidas de múltiplas chamadas GetSecretValue em jánela curta. author: RunkIntel daté: 2026-03-24 logsource: service: cloudtrail product: aws detection: list_secrets: eventName: 'ListSecrets' eventSource: 'secretsmanager.amazonaws.com' get_secrets: eventName: 'GetSecretValue' eventSource: 'secretsmanager.amazonaws.com' timeframe: 5m condition: list_secrets and get_secrets | count() > 5 falsepositives: - Pipelines de CI/CD legítimos com rotação de segredos - Ferramentas de auditoria de segurança autorizadas level: high tags: - attack.credential_access - attack.t1555.006 ``` ## Mitigação | ID | Mitigação | Ação Prática para Orgs Brasileiras | |----|-----------|-------------------------------------| | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Aplicar princípio do menor privilégio em todas as políticas IAM; auditar roles com permissão `secretsmanager:GetSecretValue` trimestralmente | | - | Monitoramento Contínuo de CloudTrail | Alertar em tempo real para `ListSecrets` + múltiplos `GetSecretValue` em jánela de 5 minutos | | - | Rotação Automática de Segredos | Habilitar rotação automática no AWS Secrets Manager (a cada 30-90 dias); limitar impacto de segredos comprometidos | | - | Condições IAM por IP e Horário | Restringir acesso a cofres de segredos por IP de origem (range corporativo) e horário via `aws:RequestedRegion` e `aws:CurrentTime` | | - | Separação de Ambientes | Manter cofres de produção e desenvolvimento separados com políticas e contas AWS distintas; fintechs brasileiras sob regulação BACEN devem documentar controles de acesso | | - | Inventário de Segredos | Manter registro atualizado de quais serviços acessam quais segredos; segredos órfãos são vetor de ataque frequentemente ignorado | ## Threat Actors - [[g0125-silk-typhoon|HAFNIUM]] - grupo de espionagem atribuído à China, notório por explorar vulnerabilidades em Exchange e ambientes cloud para extrair credenciais e propriedade intelectual de organizações governamentais e de pesquisa - [[g1053-storm-0501|Storm-0501]] - grupo de ransomware que opera em ambientes híbridos, comprometendo identidades cloud para acessar cofres de segredos e usar as credenciais obtidas para escalar para domínios on-premises antes de implantar ransomware ## Software Associado - [[s1091-pacu|Pacu]] - framework open-source de exploração de ambientes AWS, com módulos dedicados para enumeração de permissões IAM e extração de segredos do Secrets Manager; amplamente utilizado tanto por pentesters quanto por adversários em operações reais --- *Fonte: [MITRE ATT&CK - T1555.006](https://attack.mitre.org/techniques/T1555/006)*