t1535-unusedunsupported-cloud-regions

# T1535 - Unused/Unsupported Cloud Regions ## Descrição Adversários podem criar instâncias e recursos em regiões geográficas de nuvem não utilizadas ou sem suporte a serviços avançados de detecção, com o objetivo de operar sem serem detectados. O acesso inicial à infraestrutura de nuvem geralmente é obtido por meio de comprometimento de credenciais de contas com permissões de gerenciamento de cloud, sejá via [[t1078-valid-accounts|T1078 - Valid Accounts]], [[t1110-brute-force|T1110 - Brute Force]] ou roubo de chaves de API. Provedores de nuvem como AWS, Azure e GCP oferecem dezenas de regiões ao redor do mundo. A maioria das organizações utiliza apenas um subconjunto dessas regiões - tipicamente aquelas mais próximas geograficamente de sua base de usuários ou que aténdem a requisitos regulatórios. As demais regiões tendem a não ter monitoramento ativo, alertas configurados nem políticas de governança aplicadas. Ao provisionar recursos em regiões não monitoradas, o adversário pode: - Executar cargas de trabalho maliciosas (mineração de criptomoeda, C2, exfiltração) sem disparar alertas - Contornar controles de segurança que só cobrem regiões primárias - Aproveitar regiões que não suportam serviços como AWS GuardDuty, Azure Defender ou GCP Security Command Center, reduzindo a visibilidade do defensor Um exemplo documentado de uso desta técnica é a mineração não autorizada de criptomoeda via [[t1496-resource-hijacking|T1496 - Resource Hijacking]], onde o adversário provisiona instâncias de alta capacidade computacional em regiões obscuras, resultando em custos financeiros significativos para a organização vítima antes da detecção. ## Como Funciona O adversário, após obter acesso a credenciais com permissões de gerenciamento de nuvem, segue os seguintes passos: 1. **Reconhecimento de regiões**: Enumera as regiões disponíveis no provedor (ex: `aws ec2 describe-regions`) e identifica quais estão ativas na conta da vítima. 2. **Seleção da região alvo**: Escolhe regiões onde a organização não tem recursos provisionados e onde serviços de detecção estão desabilitados ou indisponíveis. 3. **Provisionamento de recursos**: Cria instâncias EC2, VMs Azure, Compute Engines ou outros recursos na região selecionada. Pode incluir grupos de segurança permissivos, funções IAM e chaves de acesso dedicadas à operação maliciosa. 4. **Execução da atividade maliciosa**: Utiliza os recursos para fins como C2, processamento de dados exfiltrados, [[t1496-resource-hijacking|mineração de criptomoeda]] ou como ponto de pivô para outros ataques. 5. **Persistência discreta**: Mantém a operação por longos períodos explorando a ausência de monitoramento, frequentemente utilizando [[t1078-004-cloud-accounts|contas cloud comprometidas]] com baixo perfil de atividade. ## Attack Flow ```mermaid graph TB A[Comprometimento de Credenciais Cloud] --> B[Enumeração de Regiões Disponíveis] B --> C{Análise de Cobertura\nde Monitoramento} C -->|Região sem GuardDuty/Defender| D[Seleção de Região Não Monitorada] C -->|Região com detecção ativa| E[Descarta região - alto risco] D --> F[Provisionamento de Recursos na Região Oculta] F --> G[Configuração de Acesso Remoto / C2] G --> H{Objetivo} H -->|Financeiro| I[Mineração de Criptomoeda Resource Hijacking] H -->|Espionagem| J[Exfiltração de Dados via Região Remota] H -->|Persistência| K[Infraestrutura C2 Fora de Vista] I --> L[Cobranças Anômalas Detectadas pela Vítima] J --> M[Dados Saem sem Alertas de DLP Regional] K --> N[Operação Contínua Sem Detecção] ``` ## Exemplos de Uso **Mineração de criptomoeda em regiões AWS obscuras** Grupos financeiramente motivados comprometem credenciais AWS com permissão `ec2:RunInstances` e provisionam instâncias `p3.16xlarge` (GPU intensivo) em regiões como `ap-east-1` (Hong Kong) ou `af-south-1` (Cabo Verde) onde GuardDuty não estava habilitado. O custo pode ultrapassar dezenas de milhares de dólares antes da descoberta. **Infraestrutura C2 em regiões Azure sem Microsoft Defender for Cloud** Adversários criam VMs em regiões Azure onde o plano Microsoft Defender for Cloud não foi habilitado pela organização vítima. A VM serve como relay de comando e controle, com tráfego saindo para infraestrutura externa controlada pelo atacante. **Exfiltração via bucket S3 em região não coberta por Macie** Dados exfiltrados são armazenados temporariamente em buckets S3 provisionados em regiões onde o Amazon Macie não está ativo, impedindo a detecção de transferência de dados sensíveis. ## Detecção A detecção primária depende de cobertura de monitoramento em **todas** as regiões disponíveis, não apenas nas regiões ativas. As fontes de dados chave incluem logs de gerenciamento de nuvem (AWS CloudTrail, Azure Activity Log, GCP Cloud Audit Logs) com escopo global. ```yaml title: Criação de Recursos em Região Cloud Não Utilizada status: experimental logsource: category: cloud product: aws service: cloudtrail detection: selection: eventSource: ec2.amazonaws.com eventName: - RunInstances - CreateInstance - AllocateAddress filter_known_regions: awsRegion|contains: - us-east-1 - us-west-2 - sa-east-1 condition: selection and not filter_known_regions falsepositives: - Expansão legítima para novas regiões pelo time de cloud - Testes de DR em regiões secundárias level: high ``` **Estrategias complementares de detecção:** - Habilitar AWS GuardDuty, Azure Defender e GCP SCC em **todas** as regiões, mesmo as sem recursos ativos - Monitorar chamadas de API de gerenciamento originadas de regiões inesperadas via CloudTrail com escopo global - Alertar sobre aumento súbito de custos em regiões historicamente sem uso (AWS Cost Anomaly Detection) - Utilizar AWS Config ou Azure Policy para detectar recursos em regiões fora da política organizacional - Monitorar criação de roles IAM ou Service Principals com permissões de provisionamento de instâncias em regiões não autorizadas ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1054 | [[m1054-software-configuration\|M1054 - Software Configuration]] | Configurar SCPs (Service Control Policies) no AWS Organizations ou Azure Policy para restringir provisionamento de recursos apenas a regiões autorizadas. Habilitar logs de auditoria globais e serviços de detecção em todas as regiões disponíveis, mesmo aquelas sem uso ativo. | **Controles adicionais recomendados:** - **SCP / Azure Policy**: Negar `ec2:RunInstances`, `ec2:AllocateAddress` e ações similares em regiões não aprovadas pela política corporativa - **Billing Alerts**: Configurar alertas de custo por região para detectar gastos inesperados - **Inventário contínuo**: Executar varreduras periódicas de recursos em todas as regiões via AWS Config Rules ou Azure Resource Graph - **Princípio do menor privilégio**: Restringir permissões de criação de recursos a contas e roles específicas, reduzindo o impacto de credenciais comprometidas ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, esta técnica apresenta relevância crescente pelo aumento da adoção de infraestrutura cloud por empresas da região. A maioria das organizações concentra seus recursos nas regiões `sa-east-1` (São Paulo - AWS) ou `brazilsouth` (Azure), com monitoramento pouco maduro nas demais. Grupos de [[t1496-resource-hijacking|cryptojacking]] frequentemente visam contas AWS de PMEs brasileiras com credenciais expostas em repositórios públicos, aproveitando exatamente essa falta de cobertura de monitoramento multi-região. O setor financeiro regulado pelo Banco Central e sujeito à LGPD tende a ter controles mais rigorosos, mas empresas de outros setores frequentemente deixam regiões secundárias completamente descobertas. A Resolução BCB nº 4.658/2018 e a Circular BCB nº 3.909/2018 exigem controles de segurança em infraestrutura de nuvem, mas não específicam cobertura multi-região explicitamente - lacuna que adversários exploram. A [[m1054-software-configuration|configuração correta de políticas organizacionais de cloud]] é o principal controle preventivo para o contexto LATAM. ## Referências - MITRE ATT&CK - T1535: Unused/Unsupported Cloud Regions - AWS Service Control Policies - Region Deny - CIS AWS Foundations Benchmark - Multi-Region Logging - CERT.br - Incidentes envolvendo uso indevido de nuvem *Fonte: MITRE ATT&CK - T1535*