t1562-008-disable-or-modify-cloud-logs

# T1562.008 - Disable or Modify Cloud Logs ## Técnica Pai Sub-técnica de [[t1562-impair-defenses|T1562 - Impair Defenses]] ## Descrição Adversários com permissões suficientes em ambientes de nuvem podem desabilitar ou modificar capacidades de registro (logging) e integrações de monitoramento para limitar os dados coletados sobre suas atividades e dificultar a detecção. Ambientes de nuvem como AWS, Azure, GCP e Microsoft 365 oferecem trilhas de auditoria abrangentes que registram ações de usuários, chamadas de API e eventos de segurança - e é exatamente essa visibilidade que o adversário busca eliminar. Em ambientes AWS, um atacante pode desabilitar o [[aws-cloudtrail|AWS CloudTrail]] antes de executar ações maliciosas adicionais, impedindo que eventos como criação de usuários IAM, exfiltração via S3 ou movimentação lateral sejam registrados. Alternativas incluem remover tópicos SNS associados, desabilitar logging multi-região, desativar válidação de integridade dos logs ou excluir trilhas inteiras. Em ambientes Microsoft 365, o adversário pode usar o cmdlet `Set-MailboxAuditBypassAssociation` para desabilitar o registro de atividades em caixas de correio específicas, ou rebaixar licenças de usuários de E5 para E3, removendo assim os recursos de auditoria avançada incluídos no plano superior. A técnica é especialmente perigosa porque atua antes ou durante a execução de outros objetivos, criando uma jánela cega na telemetria de segurança. Quando combinada com outras técnicas de evasão como [[t1078-valid-accounts|T1078 - Valid Accounts]] ou [[t1136-create-account|T1136 - Creaté Account]], o adversário pode operar por semanas sem deixar evidências auditáveis, comprometendo gravemente a capacidade de resposta a incidentes e investigação forense posterior. ## Como Funciona A técnica explora o fato de que controles de logging em nuvem são recursos configuráveis, gerenciados por permissões IAM - e não mecanismos de segurança endurecidos por padrão. Se um adversário obtém acesso a credenciais com permissões administrativas (sejá por comprometimento direto, escalada de privilégios ou uso de identidades legítimas), ele pode interagir com as APIs de gerenciamento da plataforma cloud para alterar configurações de logging. No contexto AWS, as ações maliciosas típicas incluem: `cloudtrail:DeleteTrail`, `cloudtrail:StopLogging`, `cloudtrail:UpdateTrail` (para remover destinos S3 ou SNS), e `cloudwatch:DeleteAlarms` (para eliminar alertas baseados em logs). Em GCP, o adversário pode modificar políticas de exportação de logs (sinks) ou desabilitar a API Cloud Audit Logs. Em Azure, pode alterar configurações de Diagnostic Settings e desativar Microsoft Defender for Cloud. Ferramentas de ataque como [[s1091-pacu|Pacu]] (framework de exploração AWS) automatizam esse processo, oferecendo módulos específicos para enumeração e desativação de trilhas CloudTrail, identificação de buckets S3 que armazenam logs e remoção de alarmes CloudWatch. O uso dessas ferramentas reduz drasticamente o tempo necessário para um adversário apagar sua trilha em ambientes cloud antes de avançar para exfiltração ou destruição de dados. ## Attack Flow ```mermaid graph TB A[Acesso inicial ao ambiente cloud credenciais IAM comprometidas] --> B[Enumeração de controles de logging CloudTrail / Diagnostic Settings / Audit Logs] B --> C[Desabilitação ou modificação dos logs StopLogging / DeleteTrail / BypassAudit] C --> D[Jánela cega criada ações não são registradas] D --> E[Execução do objetivo principal exfiltração / persistência / destruição] E --> F[Reativação opcional dos logs para ocultar rastros da desativação] ``` ## Exemplos de Uso **APT29 (Cozy Bear)** - O grupo russo patrocinado pelo estado, associado ao SVR, utilizou esta técnica em operações de espionagem contra alvos governamentais e do setor de tecnologia. Em campanhas relacionadas ao comprometimento de ambientes M365, o [[g0016-apt29|APT29]] desabilitou recursos de auditoria avançada de caixas de correio para coletar e-mails de forma silenciosa por períodos prolongados, evitando alertas de DLP e registros de acesso. **Operações via Pacu** - O framework open-source [[s1091-pacu|Pacu]], desenvolvido para testes de penetração em AWS, é amplamente utilizado por adversários para automatizar a desativação do [[aws-cloudtrail|AWS CloudTrail]]. Grupos de ameaça financeiramente motivados, como aqueles por trás de campanhas de cryptojacking e roubo de dados em ambientes AWS, utilizam esse método antes de provisionar recursos computacionais não autorizados ou acessar dados em buckets S3. **Ataques ao setor financeiro em LATAM** - Grupos de ameaça que operam na [[_sectors|América Latina]], especialmente aqueles com foco no setor [[financial|financeiro]], têm demonstrado capacidade de operar em ambientes cloud híbridos, desabilitando logs antes de realizar transferências fraudulentas ou exfiltrar dados de clientes. A combinação com [[t1078-valid-accounts|contas válidas comprometidas]] dificulta ainda mais a atribuição. ## Detecção ```yaml title: Detecção de Desabilitação de CloudTrail AWS status: stable logsource: category: cloud product: aws service: cloudtrail detection: selection_stop: eventSource: cloudtrail.amazonaws.com eventName: - StopLogging - DeleteTrail - UpdateTrail selection_bypass: eventSource: cloudtrail.amazonaws.com eventName: PutEventSelectors requestParameters|contains: ExcludeManagementEventSources condition: selection_stop or selection_bypass level: high falsepositives: - Alterações legítimas de configuração por administradores de nuvem - Migrações de infraestrutura planejadas ``` ```yaml title: Desabilitação de Auditoria de Caixa de Correio M365 status: experimental logsource: category: cloud product: m365 service: exchange detection: selection: Workload: Exchange Operation: Set-MailboxAuditBypassAssociation condition: selection level: high falsepositives: - Automações legítimas de TI - Scripts de provisionamento de contas de serviço ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1018-user-account-management\|M1018]] | User Account Management | Aplicar princípio do menor privilégio; restringir permissões de gerenciamento de CloudTrail/Audit Logs a contas de administração dedicadas com MFA obrigatório. | | M1047 | Audit | Monitorar continuamente o status das trilhas de auditoria; implementar alertas automatizados para qualquer alteração nas configurações de logging. | | M1022 | Restrict File and Directory Permissions | Proteger buckets S3 de destino dos logs com políticas de acesso restritas e Object Lock habilitado para imutabilidade. | ## Contexto Brasil/LATAM A desabilitação de logs em nuvem é uma técnica com crescente relevância para organizações brasileiras e latino-americanas, dado o acelerado processo de migração cloud no [[financial|setor financeiro]], [[government|governo]] e varejo da região. O Brasil concentra a maior adoção de serviços AWS e Azure na América Latina, tornando-se alvo primário de campanhas que exploram configurações inadequadas de IAM. Organizações no Brasil frequentemente enfrentam o desafio de ambientes cloud configurados com permissões excessivamente amplas, herança de práticas de TI on-premises. Grupos como [[g1004-lapsus|LAPSUS$]] demonstraram, em campanhas contra empresas brasileiras e latino-americanas, a capacidade de comprometer identidades cloud privilegiadas e modificar configurações de segurança de forma silenciosa. A [[lgpd|LGPD]] impõe obrigações de notificação em caso de incidentes, e a ausência de logs pode configurar infração adicional às penalidades pelo incidente original. Recomenda-se que organizações na região implementem controles compensatórios como AWS CloudTrail Lake com retenção imutável, alertas em tempo real via Amazon GuardDuty e revisões periódicas de permissões IAM alinhadas ao framework de segurança cloud da [[sources|CERT.br]]. ## Referências - [[t1562-impair-defenses|T1562 - Impair Defenses]] (técnica pai) - [[g0016-apt29|APT29]] (ator de ameaça que utiliza esta técnica) - [[s1091-pacu|Pacu]] (ferramenta de exploração AWS) - [[aws-cloudtrail|AWS CloudTrail]] (serviço alvo) - [[m1018-user-account-management|M1018 - User Account Management]] (mitigação) - [[t1078-valid-accounts|T1078 - Valid Accounts]] (técnica frequentemente combinada) - [[t1136-create-account|T1136 - Creaté Account]] (técnica frequentemente combinada) *Fonte: MITRE ATT&CK - T1562.008*