# T1069.003 - Cloud Groups ## Descrição A enumeração de grupos em nuvem é uma sub-técnica de [[t1069-permission-groups-discovery|T1069 - Permission Groups Discovery]] que se concentra específicamente em mapear grupos, roles e permissões dentro de plataformas cloud: Microsoft Azure, AWS IAM, Google Cloud Identity e plataformas SaaS como Microsoft 365 e Google Workspace. O objetivo do adversário é identificar quais contas têm acesso privilegiado a recursos críticos da nuvem - sejam buckets S3, assinaturas Azure, projetos GCP ou caixas de e-mail corporativas. A relevância dessa técnica cresce proporcionalmente à adoção de ambientes cloud. Diferentemente do Active Directory tradicional, onde a enumeração local pode ser detectada por EDR em endpoints Windows, a enumeração de grupos de nuvem frequentemente ocorre via APIs REST ou CLIs que deixam rastros apenas nos logs nativos da plataforma - que muitas organizações não monitoram com o mesmo rigor. Um adversário com um token de acesso válido pode consultar a estrutura completa de grupos e permissões de um tenant Microsoft 365 ou de uma conta AWS sem nunca tocar em um endpoint monitorado. Ferramentas como [[s0684-roadtools|ROADTools]] e [[s0677-aadinternals|AADInternals]] são específicamente desenvolvidas para enumeração profunda do Azure Active Directory e Microsoft 365. Para AWS, o framework [[s1091-pacu|Pacu]] inclui módulos dedicados para mapear grupos IAM, políticas gerenciadas e ACLs de recursos como buckets S3. Essas ferramentas são frequentemente usadas por red teams e, consequentemente, por adversários que adotam TTPs do setor ofensivo. **Contexto Brasil/LATAM:** A acelerada adoção de Microsoft 365 e AWS por empresas brasileiras de médio e grande porte nas últimas décadas criou um vasto novo vetor de reconhecimento. Grupos como [[g1015-scattered-spider|Scattered Spider]] - responsável por ataques a grandes corporações com foco em engenharia social e comprometimento de identidade em nuvem - utilizam essa técnica sistematicamente após obter acesso inicial via phishing ou SIM swapping. No Brasil, organizações do setor financeiro e de varejo são particularmente expostas pela combinação de adoção rápida de cloud sem maturidade de monitoramento equivalente. A técnica é especialmente crítica em ambientes híbridos onde grupos do Azure AD sincronizam com grupos locais do AD. ## Attack Flow ```mermaid graph TB A[Token / Credencial Cloud] --> B[**T1069.003 - Cloud Groups**] B --> C[T1078.004 - Cloud Accounts] C --> D[Exfiltração / Impacto] ``` ## Como Funciona A enumeração de grupos de nuvem tipicamente começa após o adversário obter um token de acesso válido - por phishing de credenciais, roubo de token de sessão ou comprometimento de uma identidade de serviço. 1. **Preparação:** O adversário obtém credenciais válidas para a plataforma alvo (usuário comum, service principal ou chave de API). Em muitos casos, as permissões necessárias para listar grupos são mínimas - qualquer usuário autenticado no Azure AD pode por padrão listar todos os grupos do tenant. 2. **Enumeração no Azure / Microsoft 365:** Via Azure CLI, o comando `az ad user get-member-groups --id <upn>` lista grupos de um usuário. Via PowerShell, `Get-MsolRole` e `Get-AzureADGroup` fornecem o mapeamento completo de roles e grupos. O [[s0677-aadinternals|AADInternals]] permite enumerar todos os grupos e suas políticas com uma única chamada, incluindo grupos de segurança e grupos do Microsoft 365. 3. **Enumeração na AWS:** Os comandos `aws iam list-groups`, `aws iam list-role-policies` e `aws iam list-attached-role-policies` mapeiam grupos e políticas IAM. O `aws s3api get-bucket-acl` revela as ACLs de buckets específicos. O [[s1091-pacu|Pacu]] automatiza toda essa enumeração com saída estruturada. 4. **Enumeração no Google Cloud:** A API do Google Cloud Identity (`GET https://cloudidentity.googleapis.com/v1/groups`) lista grupos disponíveis. Combinada com `gcloud iam roles list` e `gcloud projects get-iam-policy`, fornece um mapa completo de permissões no projeto ou organização. 5. **Análise e priorização:** Os dados coletados são correlacionados para identificar contas com maior superfície de acesso - service principals com permissões de escrita em Storage, grupos de administradores globais no M365, roles com capacidade de criar novas credenciais IAM. **Exemplo:** ```bash # Artefato detectável: enumeração de grupos Azure AD via CLI # Gera entrada no Azure AD Audit Log (category: GroupManagement, activity: List groups) az ad user get-member-groups --id [email protected] # AWS: gera evento CloudTrail (ListGroups, eventSource: iam.amazonaws.com) aws iam list-groups aws iam list-attached-role-policies --role-name AdminRole ``` ## Detecção **Fontes de dados:** Azure AD Audit Logs (categoria GroupManagement), AWS CloudTrail (`ListGroups`, `ListRolePolicies`, `ListAttachedRolePolicies`, `GetBucketAcl`), Google Cloud Audit Logs (Admin Activity), Microsoft 365 Unified Audit Log, Microsoft Defender for Cloud Apps (MCAS) anomaly alerts. ```yaml title: Cloud Groups Enumeration via AWS CloudTrail id: f4c8a239-7e51-4d90-b823-9f3e17c8a512 status: experimental description: Detects enumeration of IAM groups and role policies in AWS that may indicaté cloud groups discovery logsource: category: cloud product: aws service: cloudtrail detection: selection: eventSource: iam.amazonaws.com eventName: - ListGroups - ListRolePolicies - ListAttachedRolePolicies - GetBucketAcl - ListGroupPolicies filter_automated: userAgent|contains: - 'aws-sdk' - 'Boto3' condition: selection and not filter_automated falsepositives: - Cloud infrastructure automation tools - Security scanning platforms - IAM access reviews level: medium tags: - attack.discovery - attack.t1069.003 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Princípio do Menor Privilégio em IAM | Revogar permissão padrão de listagem de grupos para usuários comuns no Azure AD (via Entra ID → User Settings → "Restrict access to Entra ID administration portal"). Auditar service principals com permissões `Directory.Read.All`. | | Monitoramento de API em Nuvem | Habilitar AWS CloudTrail em todas as regiões com alertas para chamadas IAM em volume. Configurar Microsoft Defender for Cloud Apps para detectar enumeração anômala de grupos no M365. | | Revisões de Acesso | Implementar Azure AD Access Reviews trimestralmente para grupos privilegiados. Usar AWS IAM Access Analyzer para detectar permissões excessivas em grupos e roles. | ## Técnica Pai - [[t1069-permission-groups-discovery|T1069 - Permission Groups Discovery]] ## Referências *Fonte: [MITRE ATT&CK - T1069.003](https://attack.mitre.org/techniques/T1069/003)*